كشف خبراء الأمن السيبراني عن جهة تهديد جديدة تُعرف باسم UAT-5918، والتي تستهدف البنية التحتية الحيوية في تايوان منذ عام 2023 على الأقل.
🔴 كيف يعمل الهجوم؟
وفقًا لفريق الباحثين في Cisco Talos، فإن مجموعة UAT-5918 تُركز على سرقة المعلومات عبر الحصول على وصول طويل الأمد إلى الشبكات المستهدفة. وتعتمد في هجماتها على أدوات مفتوحة المصدر وأبواب خلفية (Web Shells) لتنفيذ أنشطة ما بعد الاختراق، مما يساعدها على التسلل العميق إلى الأنظمة وسرقة بيانات تسجيل الدخول.
القطاعات المستهدفة
🔹 البنية التحتية الحيوية 🏭
🔹 قطاع تكنولوجيا المعلومات 💻
🔹 الاتصالات 📡
🔹 المجال الأكاديمي 🎓
🔹 الرعاية الصحية 🏥
تشابه مع مجموعات قرصنة صينية
يُعتقد أن UAT-5918 مجموعة تهديد متقدمة (APT) تسعى إلى الاحتفاظ بوجود مستمر في الشبكات المستهدفة. وقد أظهرت تشابهًا تكتيكيًا مع عدة مجموعات قرصنة صينية، من بينها:
⚡ Volt Typhoon
⚡ Flax Typhoon
⚡ Tropic Trooper
⚡ Earth Estries
⚡ Dalbit
آلية الهجوم: استغلال الثغرات لتسلل الشبكات
1️⃣ الوصول الأولي: تستغل المجموعة ثغرات أمنية حديثة (N-day) في خوادم الويب والتطبيقات غير المُحدَّثة، والتي تكون مكشوفة على الإنترنت.
2️⃣ الانتشار في الشبكة: بعد الحصول على موطئ قدم، تقوم بتنزيل أدوات مفتوحة المصدر لإجراء استطلاع وجمع معلومات عن النظام والتحرك الجانبي داخل الشبكة.
3️⃣ إنشاء نفق عكسي (Reverse Proxy): تستخدم المجموعة أدوات مثل Fast Reverse Proxy (FRP) وNeo-reGeorge لإنشاء قنوات خفية للوصول إلى الأجهزة المصابة عبر خوادم يتحكم بها المهاجمون.
أدوات ما بعد الاختراق المستخدمة
🛠 Mimikatz وLaZagne – لسرقة بيانات تسجيل الدخول وكلمات المرور.
🛠 BrowserDataLite – لاستخراج بيانات تسجيل الدخول وملفات تعريف الارتباط وسجل التصفح من المتصفحات.
🛠 Chopper Web Shell, Crowdoor, SparrowDoor – أدوات تحكم عن بُعد لنشر الأبواب الخلفية.
🛠 RDP, WMIC, Impact – للتحكم عن بعد بالأنظمة المصابة.
🔎 BrowserDataLite، على وجه الخصوص، يُستخدم لسرقة بيانات تسجيل الدخول، ملفات تعريف الارتباط، وسجل التصفح، مما يساعد المجموعة على التعمق أكثر داخل الأنظمة المستهدفة.
التخفي والتوسع في الشبكة
🚨 أوضح الباحثون أن الأنشطة التي تم رصدها تشير إلى أن عمليات ما بعد الاختراق تُنفَّذ يدويًا، حيث يكون الهدف الأساسي هو سرقة المعلومات.
🚨 كما تعتمد المجموعة على زرع Web Shells في أي نطاقات فرعية أو خوادم متاحة عبر الإنترنت، مما يمنحها نقاط دخول متعددة إلى الشبكات المستهدفة.
📌 خلاصة: هجمات متطورة لسرقة المعلومات
✅ تعتمد مجموعة UAT-5918 على ثغرات غير مُرقّعة وأدوات مفتوحة المصدر للتجسس وسرقة البيانات.
✅ البنية التحتية الحيوية والتكنولوجيا والاتصالات من بين الأهداف الرئيسية.
✅ تكتيكاتها تشبه مجموعات قرصنة صينية معروفة، مما يثير تساؤلات حول ارتباطها بها.
✅ تعمل المجموعة على إنشاء قنوات خفية وفتح أبواب خلفية متعددة لتعزيز وصولها إلى الأنظمة المخترقة.
🔒 توصيات الأمن السيبراني:
✔ تحديث الأنظمة بشكل دوري لسد الثغرات الأمنية.
✔ مراقبة الشبكة واكتشاف الأنشطة المشبوهة في وقت مبكر.
✔ استخدام حلول أمنية متقدمة لمنع استغلال البيانات وسرقتها.
✔ تقييد الوصول إلى أدوات الإدارة عن بعد لمنع الاختراقات.
📢 لا تزال هذه الهجمات نشطة، ويجب على المؤسسات تعزيز دفاعاتها لمنع التسلل إلى أنظمتها! 🚀
