كشفت شركة Positive Technologies أن مجموعة APT31، المرتبطة بالحكومة الصينية، شنت سلسلة من الهجمات السيبرانية المتقدمة على قطاع تكنولوجيا المعلومات الروسي بين عامي 2024 و2025. استهدفت هذه الهجمات شركات تعمل كمقاولين ومتكاملين لحلول تقنية لصالح مؤسسات حكومية روسية، وتميزت بقدرتها على البقاء دون اكتشاف لفترات طويلة.
APT31، المعروفة أيضاً بأسماء مثل Altaire وJudgement Panda وRedBravo، تنشط منذ عام 2010، وتشتهر باستهدافها لقطاعات حساسة تشمل الحكومات، الدفاع، الطيران، المال، الإعلام، والاتصالات. وتهدف عملياتها إلى جمع معلومات استخباراتية تمنح الصين وشركاتها الحكومية مزايا سياسية واقتصادية وعسكرية.
استغلال خدمات سحابية روسية للتخفي والاختراق
اعتمدت APT31 على خدمات سحابية شرعية، أبرزها Yandex Cloud، لتنفيذ عمليات التحكم والسيطرة (C2) وسرقة البيانات، مما سمح لها بالاندماج في حركة المرور العادية وتفادي أنظمة الكشف. كما استخدمت المجموعة ملفات مشفرة وأوامر مخفية ضمن حسابات على منصات التواصل الاجتماعي، ونفذت هجماتها خلال عطلات نهاية الأسبوع والأعياد لتقليل فرص اكتشافها.
في إحدى الهجمات التي بدأت أواخر 2022، تم اختراق شبكة شركة تقنية روسية، وتصاعدت الأنشطة الخبيثة خلال عطلة رأس السنة 2023. وفي ديسمبر 2024، أُرسلت رسائل تصيد موجهة تحتوي على أرشيف RAR يتضمن اختصار Windows (LNK) يقوم بتحميل أداة CloudyLoader عبر تقنية DLL Side-Loading، وهي أداة تحميل لـ Cobalt Strike، وفقاً لتقرير صادر عن Kaspersky.
أدوات متقدمة وتكتيكات خفية
لضمان الاستمرارية داخل الأنظمة المستهدفة، استخدمت APT31 مجموعة من الأدوات العامة والمخصصة، منها:
– SharpADUserIP: أداة استطلاع مكتوبة بلغة C#
– SharpChrome.exe: لاستخراج كلمات المرور وملفات تعريف الارتباط من متصفحي Chrome وEdge
– StickyNotesExtract.exe: لاستخراج البيانات من تطبيق الملاحظات اللاصقة في Windows
– Tailscale VPN و Microsoft Dev Tunnels: لإنشاء قنوات اتصال مشفرة
– Owawa: وحدة خبيثة لـ IIS لسرقة بيانات الاعتماد
– AufTime و COFFProxy: أبواب خلفية لأنظمة Linux وWindows
– VtChatter: قناة C2 تستخدم تعليقات مشفرة على VirusTotal
– OneDriveDoor و CloudSorcerer: أبواب خلفية تستخدم خدمات سحابية مثل OneDrive
– YaLeak: أداة.NET لرفع البيانات إلى Yandex Cloud
البقاء في الظل وجمع البيانات الحساسة
أشارت Positive Technologies إلى أن APT31 تواصل تحديث ترسانتها، مع الحفاظ على بعض الأدوات القديمة. وتُستخدم العديد من أدواتها في وضع “الخادم”، ما يسمح لها بالانتظار حتى يتصل المهاجم بالجهاز المصاب. كما يتم استخراج البيانات من خلال تخزين Yandex السحابي، بما في ذلك كلمات مرور البريد الإلكتروني والخدمات الداخلية، دون أن تثير أي إنذارات أمنية.
تعكس هذه الهجمات تطوراً في أساليب التجسس السيبراني، حيث يتم استغلال البنية التحتية المحلية والخدمات السحابية الشرعية لتنفيذ عمليات معقدة يصعب اكتشافها، مما يشكل تهديداً متزايداً للأمن السيبراني في المؤسسات الحكومية والخاصة على حد سواء.
