نسبت مجموعة التهديد المرتبطة بالصين والمعروفة باسم Winnti إلى حملة جديدة تدعى RevivalStone استهدفت الشركات اليابانية في قطاعات التصنيع والمواد والطاقة.
التفاصيل التي قدمتها شركة الأمن السيبراني اليابانية LAC تتداخل مع مجموعة تهديد متعقبة بواسطة شركة Trend Micro تحت اسم Earth Freybug، والتي تم تقييمها كجزء من مجموعة التجسس السيبراني APT41، وبواسطة Cybereason تحت اسم Operation CuckooBees، وبواسطة Symantec تحت اسم Blackfly .
وُصفت APT41 كمجموعة ذات مهارة عالية ومنهجية قادرة على تنفيذ هجمات تجسس بالإضافة إلى تسميم سلسلة التوريد. تصمم حملاتهم غالبًا بتكتيكات خفية لتحقيق أهدافهم باستخدام أدوات مخصصة تتجاوز برامج الأمان المثبتة في البيئة، وتجمع معلومات حيوية وتنشئ قنوات خفية للوصول البعيد المستمر.
التفاصيل الرئيسية
قالت شركة LAC: “نشاطات التجسس الخاصة بالمجموعة، والتي تتماشى مع الأهداف الاستراتيجية للدولة، قد استهدفت مجموعة واسعة من القطاعات الصناعية العامة والخاصة حول العالم”.
“تتميز هجمات هذه المجموعة باستخدام برمجية Winnti، التي تمتلك جذرية فريدة تسمح بإخفاء وتحويل الاتصالات، بالإضافة إلى استخدام شهادات رقمية مسروقة وشرعية في البرمجية الخبيثة.”
الحملات الأخيرة
كانت Winnti، النشطة منذ عام 2012 على الأقل، تستهدف بشكل أساسي المنظمات المتعلقة بالتصنيع والمواد في آسيا اعتبارًا من عام 2022، مع حملات حديثة بين نوفمبر 2023 وأكتوبر 2024 تستهدف منطقة آسيا والمحيط الهادئ (APAC) من خلال استغلال نقاط الضعف في التطبيقات العامة مثل IBM Lotus Domino لتوزيع البرمجيات الخبيثة على النحو التالي:
– DEATHLOTUS باب خلفي CGI يدعم إنشاء الملفات وتنفيذ الأوامر.
– UNAPIMON أداة لتجاوز الدفاعات مكتوبة بلغة C++.
– PRIVATELOGمُحمِّل يستخدم لإسقاط Winnti RAT (المعروف أيضًا باسم DEPLOYLOG) الذي بدوره يوفر جذرية باسم WINNKIT من خلال مُثبّت الجذرية.
– CUNNINGPIGEON باب خلفي يستخدم Microsoft Graph API لجلب الأوامر – إدارة الملفات والعمليات، والوكيل المخصص – من رسائل البريد الإلكتروني.
– WINDJAMMER جذرية قادرة على اعتراض واجهة شبكة TCPIP وإنشاء قنوات خفية مع النقاط النهائية المصابة داخل الشبكة الداخلية.
– SHADOWGAZEباب خلفي سلبي يعيد استخدام منفذ الاستماع من خادم الويب IIS .
أحدث سلسلة الهجمات
وُجدت أحدث سلسلة هجمات موثقة بواسطة LAC تستغل ثغرة SQL injection في نظام تخطيط موارد المؤسسات (ERP) غير محدد لإسقاط أغشية الويب مثل China Chopper وBehinder (المعروف أيضًا باسم Bingxia وIceScorpion) على الخادم المخترق، باستخدام الوصول لإجراء الاستطلاعات، جمع بيانات الاعتماد للحركة الجانبية، وتوزيع نسخة محسنة من برمجية Winnti الخبيثة.
يُقال إن نطاق الوصول توسع أكثر لاختراق مزود خدمة مُدارة (MSP) باستخدام حساب مشترك، يلي ذلك تسليح بنية الشركة التحتية لنشر البرمجية الخبيثة إلى ثلاث منظمات أخرى.
يذكر أن باحثو LAC، تاكوما ماتسوموتو ويوشيهيرو إيشيكاوا قالوا: “إذا كان TreadStone له نفس معنى برمجية Winnti، فهي فقط تكهنات، ولكن StoneV5 قد يعني أيضًا الإصدار الخامس، ومن الممكن أن البرمجية الخبيثة المستخدمة في هذا الهجوم هي Winnti v5.0” .
“تم تنفيذ برمجية Winnti الجديدة بميزات مثل التشويش، تحديث خوارزميات التشفير، وتجنب منتجات الأمان، ومن المرجح أن تستمر مجموعة المهاجمين هذه في تحديث وظائف برمجية Winnti واستخدامها في الهجمات.”
!
