مجموعة “سيلفر دراغون” المرتبطة بـ APT41 تستهدف الحكومات باستخدام Cobalt Strike وGoogle Drive C2

مجموعة "سيلفر دراغون" المرتبطة بـ APT41 تستهدف الحكومات باستخدام Cobalt Strike وGoogle Drive C2
مجموعة "سيلفر دراغون" المرتبطة بـ APT41 تستهدف الحكومات باستخدام Cobalt Strike وGoogle Drive C2
شارك هذا الخبر

كشف باحثون في الأمن السيبراني عن تفاصيل مجموعة تهديد متقدم تُعرف باسم Silver Dragon، والتي تنشط منذ منتصف عام 2024 ضد كيانات حكومية في أوروبا وجنوب شرق آسيا. تعتمد المجموعة في الوصول الأولي على استغلال خوادم الإنترنت المكشوفة للعامة وإرسال رسائل تصيّد تحتوي على مرفقات خبيثة. وللحفاظ على الاستمرارية، تقوم المجموعة باختطاف خدمات ويندوز الشرعية، مما يسمح بدمج العمليات الخبيثة داخل النشاط الطبيعي للنظام لتفادي الاكتشاف.

ارتباطها بـ APT41 وتكتيكات الهجوم

تُقيّم المجموعة على أنها تعمل تحت مظلة APT41، وهي مجموعة صينية بارزة معروفة منذ عام 2012 باستهداف قطاعات الصحة والاتصالات والتكنولوجيا والتعليم والسفر والإعلام. الهجمات الأخيرة لـ Silver Dragon تركزت على الحكومات، حيث استخدمت المجموعة منارات Cobalt Strike للبقاء على الأجهزة المخترقة، إضافة إلى تقنيات مثل نفق DNS للتواصل مع خوادم القيادة والسيطرة (C2) دون لفت الانتباه.

سلاسل العدوى الثلاثة

أشارت تقارير شركة Check Point إلى ثلاث سلاسل عدوى رئيسية:

  • AppDomain hijacking وService DLL: كلاهما يُسلّم عبر أرشيفات مضغوطة ويُستخدم في سيناريوهات ما بعد الاستغلال. الأول يعتمد على أداة MonikerLoader المبنية بـ .NET لفك تشفير المرحلة الثانية وتشغيلها في الذاكرة، بينما الثاني يستخدم BamboLoader كخدمة ويندوز لتحميل شيفرة خبيثة مشفّرة وحقنها في عمليات شرعية مثل “taskhost.exe”.
  • سلسلة التصيّد عبر البريد الإلكتروني: استهدفت بشكل خاص أوزبكستان باستخدام ملفات اختصار (LNK) خبيثة، تؤدي إلى تشغيل أوامر PowerShell وتنزيل ملفات متعددة تشمل وثيقة خداعية، ملف تنفيذي شرعي قابل للتحميل الجانبي، مكتبة DLL خبيثة، وحمولة Cobalt Strike مشفرة.
أدوات ما بعد الاستغلال والتواصل عبر Google Drive

الهجمات تميزت باستخدام أدوات إضافية مثل:

  • SilverScreen: أداة مراقبة شاشة تلتقط صوراً دورية لنشاط المستخدم.
  • SSHcmd: أداة لتنفيذ الأوامر ونقل الملفات عبر بروتوكول SSH.
  • GearDoor: باب خلفي مبني بـ .NET يتواصل مع البنية التحتية عبر حسابات Google Drive.

هذا الباب الخلفي يقوم برفع ملفات “heartbeat” بصيغة PNG تحتوي على معلومات النظام، ويستخدم امتدادات ملفات مختلفة لتحديد المهام:

  • .pdf لتنفيذ أوامر وإدارة الملفات.
  • .cab لجمع معلومات النظام وتشغيل أوامر عبر “cmd.exe”.
  • .rar لتسليم حمولات إضافية أو تحديثات ذاتية.
  • .7z لتحميل إضافات وتشغيلها في الذاكرة.
دلالات أمنية واستنتاجات

ارتباط Silver Dragon بـ APT41 يتضح من التشابه في أدوات ما بعد الاستغلال وآليات فك التشفير المستخدمة في BamboLoader، وهي تقنيات سبق رصدها في نشاطات مرتبطة بمجموعة صينية. ويشير الباحثون إلى أن المجموعة تواصل تطوير أدواتها وتجربة تقنيات جديدة، مما يعكس موارد كبيرة وقدرة عالية على التكيف مع بيئات مختلفة.

وسوم
محمد طاهر
محمد طاهر
المقالات: 1302

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة