كشفت شركة الأمن السيبراني الأمريكية SentinelOne أن نشاط الاستطلاع الإلكتروني الذي استهدفها كان جزءًا من سلسلة أوسع من الهجمات المرتبطة جزئيًا بعدة اختراقات وقعت بين يوليو 2024 ومارس 2025.
وأوضح الباحثان الأمنيان في SentinelOne، ألكسندر ميلينكوسكي وتوم هيغل، في تقرير نُشر اليوم، أن “الضحايا شملوا جهة حكومية في جنوب آسيا، ومؤسسة إعلامية أوروبية، وأكثر من 70 منظمة تنتمي لقطاعات متنوعة”.
ومن بين القطاعات المستهدفة:
الصناعة، والحكومات، والمالية، والاتصالات، والبحث العلمي. كما شملت قائمة الضحايا شركة خدمات تكنولوجيا معلومات ولوجستيات كانت تتولى إدارة معدات موظفي SentinelOne أثناء الاختراق الذي وقع أوائل عام 2025.
أنشطة نتداخلة مع مجموعات صينية معروفة
وقد نسب الباحثون هذا النشاط الخبيث بدرجة عالية من الثقة إلى جهات تهديد ذات صلة بالصين، من بينها مجموعة تجسس إلكتروني تُعرف باسم PurpleHaze، والتي تتداخل أنشطتها مع مجموعات صينية معروفة مثل APT15 وUNC5174.
وكانت SentinelOne قد كشفت لأول مرة في أبريل 2024 عن نشاط استطلاع مرتبط بـPurpleHaze استهدف بعض خوادمها التي كانت متاحة عمدًا عبر الإنترنت نتيجة لوظائفها.
وأكد الباحثون أن “نشاط الفاعل كان يقتصر على رسم خرائط وتقييم خوادم محددة متاحة عبر الإنترنت، على الأرجح كمرحلة تمهيدية لهجمات لاحقة”.
ورغم عدم وضوح ما إذا كان الهدف النهائي للهجوم هو شركة الخدمات اللوجستية لتكنولوجيا المعلومات فقط، أو ما إذا كانت هناك نية للتوسع نحو منظمات مرتبطة، فقد كشفت التحقيقات عن ست مجموعات أنشطة مختلفة (من A إلى F) بدأت منذ يونيو 2024، مع اختراق كيان حكومي لم يُذكر اسمه في جنوب آسيا.
تفاصيل مجموعات الأنشطة:
-
النشاط A: اختراق كيان حكومي في جنوب آسيا (يونيو 2024)
-
النشاط B: مجموعة من الاختراقات استهدفت منظمات على مستوى العالم (من يوليو 2024 حتى مارس 2025)
-
النشاط C: اختراق شركة خدمات ولوجستيات تقنية (بداية 2025)
-
النشاط D: اختراق متجدد لنفس الكيان الحكومي (أكتوبر 2024)
-
النشاط E: نشاط استطلاع استهدف خوادم SentinelOne (أكتوبر 2024)
-
النشاط F: اختراق مؤسسة إعلامية أوروبية بارزة (أواخر سبتمبر 2024)
وفي الهجوم الذي وقع في يونيو 2024، تم نشر برمجية خبيثة تُعرف باسم ShadowPad، وقد تم تمويهها باستخدام أداة تُسمى ScatterBrain. وتتشارك برمجيات وبنى ShadowPad المستخدمة في هذا الهجوم مع حملات خبيثة حديثة نشرت برمجية فدية تُدعى NailaoLocker بعد استغلال أجهزة Check Point.
وفي أكتوبر 2024، استُهدف نفس الكيان الحكومي مجددًا بنشر باب خلفي مبرمج بلغة Go يُسمى GoReShell، ويعتمد على بروتوكول SSH للاتصال بالجهاز المصاب. وأشارت SentinelOne إلى أن هذا الباب الخلفي استخدم أيضًا في هجوم استهدف مؤسسة إعلامية أوروبية في سبتمبر 2024.
ومن القواسم المشتركة بين النشاطين استخدام أدوات طورها فريق يُدعى The Hacker’s Choice (THC)، وتعد هذه هي المرة الأولى التي يُبلّغ فيها عن استخدام برامج THC من قِبل جهات تهديد مدعومة من دول.
وقد نسبت SentinelOne النشاط F إلى فاعل مرتبط بالصين يُعتقد أنه على صلة بوسيط وصول أولي (IAB) تُتابعه Google Mandiant تحت الاسم UNC5174 (المعروف أيضًا باسم Uteus أو Uetus). وتجدر الإشارة إلى أن هذه المجموعة ارتبطت مؤخرًا باستغلال ثغرات في SAP NetWeaver لنشر إصدار معدل من GoReShell يُعرف باسم GOREVERSE.
ويتابع الباحثون في SentinelOne الأنشطة D وE وF ضمن مجموعة PurpleHaze. وأوضحوا أن “الجهة المهاجمة استخدمت بنية تحتية من نوع ORB نعتقد أنها تُدار من داخل الصين، واستغلت ثغرتين CVE-2024-8963 وCVE-2024-8190 للحصول على موطئ قدم قبل أيام من الكشف العلني عنهما”. وأضافوا أن “UNC5174 يُعتقد أنه سلّم هذا الوصول لجهات تهديد أخرى”.
