مجموعة تهديد صينية تستهدف آسيا وأمريكا اللاتينية باستخدام أدوات VARGEIT وCOBEACON في هجمات إلكترونية متعددة المراحل

مجموعة تهديد صينية تستهدف آسيا وأمريكا اللاتينية باستخدام أدوات VARGEIT وCOBEACON في هجمات إلكترونية متعددة المراحل
مجموعة تهديد صينية تستهدف آسيا وأمريكا اللاتينية باستخدام أدوات VARGEIT وCOBEACON في هجمات إلكترونية متعددة المراحل
شارك هذا الخبر

كشف باحثو الأمن السيبراني عن تفاصيل مجموعة تهديد إلكتروني جديدة مرتبطة بالصين تُعرف باسم Earth Alux، والتي نفّذت هجمات معقدة استهدفت قطاعات حيوية تشمل: الحكومات، التكنولوجيا، الخدمات اللوجستية، التصنيع، الاتصالات، خدمات تكنولوجيا المعلومات، وتجارة التجزئة في مناطق آسيا والمحيط الهادئ (APAC) وأمريكا اللاتينية (LATAM).

نشاط تجسسي متقدم بدأ في 2023

بحسب تقرير تقني نشرته شركة Trend Micro، تم رصد نشاط Earth Alux لأول مرة في الربع الثاني من عام 2023، حين كانت تتركز في منطقة آسيا والمحيط الهادئ. ومع منتصف عام 2024، امتدت عملياتها لتشمل أمريكا اللاتينية.

استهدفت المجموعة دولًا مثل تايلاند، الفلبين، ماليزيا، تايوان، والبرازيل، باستخدام سلاسل إصابة تبدأ من استغلال خدمات ضعيفة في تطبيقات الويب المكشوفة على الإنترنت.

استخدام برمجية Godzilla وحقن أبواب خلفية

تقوم المجموعة بنشر web shell Godzilla، الذي يُستخدم لزرع أدوات خبيثة إضافية مثل VARGEIT وCOBEACON (المعروفة أيضًا بـ Cobalt Strike Beacon).

VARGEIT: أداة متقدمة للتجسس

تُعد VARGEIT أداة خلفية قوية تُحمّل أدوات من خادم التحكم (C&C) إلى عملية جديدة داخل “Microsoft Paint” بهدف تنفيذ مهام مثل الاستطلاع، جمع البيانات، والاختراق.

  • تُستخدم VARGEIT في مراحل متعددة من الهجوم: كبوابة أولى، أو ثانية، أو لاحقة.

  • تدعم تنفيذ عمليات بدون ملفات (Fileless).

  • توفر قنوات اتصال متعددة (HTTP, TCP, UDP, ICMP, DNS, Outlook/Graph API).

COBEACON: المرحلة الأولى من الاختراق

تُستخدم COBEACON كبوابة خلفية أولى، وتُطلق من خلال MASQLOADER أو أداة RSBINJECT المبنية بلغة Rust، والتي تُشغّل شيفرات خبيثة مخفية.

إصدارات MASQLOADER الحديثة تشمل تقنيات مضادة للكشف، مثل تعطيل تتبع مكتبة NTDLL.dll، ما يُصعّب على برامج الحماية اكتشاف البرمجيات الخبيثة.

أدوات إضافية: RAILLOAD وRAILSETTER

  • RAILLOAD: يُحمّل من خلال تقنية DLL Side-Loading لتشغيل حمولة مشفرة.

  • RAILSETTER: يُعدّل طوابع الوقت للملفات لتفادي التحليل الجنائي ويُنشئ مهمة مجدولة لإعادة تشغيل RAILLOAD.

قنوات اتصال متعددة وتحايل عبر Outlook

أبرز ما يميز VARGEIT هو قدرتها على التواصل مع الخادم عبر 10 قنوات مختلفة، بما في ذلك Microsoft Outlook باستخدام Graph API. يتم تبادل الأوامر عبر مجلد المسودات باستخدام رموز تعريف .

أدوات اختبار وتخفي متقدمة

  • تستخدم Earth Alux أدوات مفتوحة المصدر مثل ZeroEye لفحص ملفات EXE بحثًا عن DLLs قابلة للاستغلال.

  • كما تستفيد من أداة VirTest لضمان أن أدواتها قادرة على البقاء خفية لفترات طويلة.

وسوم
محمد وهبى
محمد وهبى
المقالات: 109

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة