هاكرز مرتبطون بالصين يشنّون حملة تجسس تستهدف البنية التحتية لتكنولوجيا المعلومات في إفريقيا

هاكرز مرتبطون بالصين يشنّون حملة تجسس تستهدف البنية التحتية لتكنولوجيا المعلومات في إفريقيا
هاكرز مرتبطون بالصين يشنّون حملة تجسس تستهدف البنية التحتية لتكنولوجيا المعلومات في إفريقيا
شارك هذا الخبر

نسبت شركة كاسبرسكي حملة تجسس إلكتروني جديدة إلى مجموعة APT41 المرتبطة بالحكومة الصينية، والتي استهدفت خدمات تكنولوجيا المعلومات التابعة للحكومات في القارة الإفريقية. وذكر الباحثان دِنس كوليك ودانييل بوغوريلوف من كاسبرسكي أن المهاجمين استخدموا أسماء مضمّنة لخدمات داخلية وعناوين IP وخوادم بروكسي داخل شيفرات البرمجيات الخبيثة الخاصة بهم. كما تم رصد خادم SharePoint تابع للضحية كمركز قيادة وتحكم (C2) ضمن البنية التحتية المخترقة.

تُعرف مجموعة APT41 بأنها واحدة من أكثر مجموعات التجسس السيبراني نشاطًا والمدعومة من الدولة الصينية، وقد سبق لها استهداف قطاعات متعددة مثل الاتصالات والطاقة والتعليم والرعاية الصحية وتكنولوجيا المعلومات في أكثر من ثلاثين دولة.

اللافت في هذه الحملة هو تركيزها على إفريقيا، وهي منطقة لم تكن تشهد نشاطًا مكثفًا من هذه المجموعة سابقًا، وفقًا لما أشار إليه التقرير، مع التذكير بأن شركة Trend Micro كانت قد رصدت في أواخر عام 2022 مؤشرات على دخول القارة ضمن نطاق استهداف APT41.

رصد النشاط الخبيث وتحليل الأساليب المتبعة

بدأ التحقيق الأمني بعدما رصدت كاسبرسكي نشاطًا مريبًا على عدة محطات عمل تابعة لكيان غير مُسمى، حيث نفذ المهاجمون أوامر لفحص إمكانية الوصول إلى خادم القيادة والتحكم الخاص بهم، سواء بشكل مباشر أو عبر خادم بروكسي داخلي ضمن الشبكة المصابة.

ووفقًا للباحثين، فإن مصدر النشاط الخبيث كان جهازًا غير خاضع للمراقبة، حيث تم تشغيل أداة Impacket عليه باستخدام حساب خدمة. وبعد تنفيذ وحدات Atexec وWmiExec، علّق المهاجمون عملياتهم مؤقتًا، ليتبع ذلك سرقة بيانات اعتماد حسابات إدارية واستخدامها للتصعيد في الصلاحيات والتنقل الأفقي داخل الشبكة، وصولًا إلى نشر أداة Cobalt Strike للتواصل مع خوادم C2 باستخدام تقنية تحميل مكتبات DLL ضارة.

الملفات الخبيثة التي تم تحميلها كانت تحتوي على شرط يُفعّل التنفيذ فقط إذا لم يتم رصد وجود حزم لغوية معينة، تشمل اليابانية والكورية الجنوبية والصينية (الصين القارية) والصينية (تايوان)، وهي خطوة تهدف إلى تجنّب اكتشاف البرمجية داخل تلك البيئات المحلية.

استغلال خادم SharePoint وتوظيف تقنيات معقدة للتخفي

استُخدم خادم SharePoint مخترق كمنصة لتنفيذ الأوامر، حيث تم رفع برمجيات خبيثة مكتوبة بلغة C# على الأجهزة المستهدفة. كما قام المهاجمون بتوزيع ملفات تحمل أسماء “agents.exe” و”agentx.exe” عبر بروتوكول SMB، والتي هي في الحقيقة فيروسات تروجان بلغة C#، تتمثل وظيفتها الأساسية في تنفيذ أوامر يتم استقبالها من خلال شيفرة ويب ضارة باسم “CommandHandler.aspx” مزروعة على خادم SharePoint.

ويمثل هذا الأسلوب مزيجًا بين نشر البرمجيات التقليدية وتكتيكات “العيش من موارد النظام” (Living-off-the-land)، حيث يتم استغلال خدمات موثوقة كـ SharePoint كقنوات سرية للتحكم. وتتوافق هذه السلوكيات مع تقنيات موثقة ضمن إطار MITRE ATT&CK، مثل T1071.001 (بروتوكولات الويب) وT1047 (WMI)، ما يجعل اكتشافها صعبًا باستخدام أدوات تعتمد على التوقيعات وحدها.

الأنشطة اللاحقة وتسليم حمولة برمجية عبر HTA

بعد مرحلة الاستطلاع الأولية، استهدف المهاجمون الأجهزة التي اعتُبرت ذات أهمية استراتيجية، وذلك عبر تنفيذ أمر باستخدام cmd.exe لتنزيل ملف HTA (تطبيق HTML ضار) من مصدر خارجي يشبه نطاق GitHub مزيف (“github.githubassets[.]net”)، لتشغيله لاحقًا باستخدام أداة mshta.exe. لا تزال طبيعة الحمولة البرمجية غير معروفة بشكل دقيق، إلا أن تحليلاً لأحد النصوص البرمجية السابقة يُظهر أنها مصممة لإنشاء صدفة عكسية (Reverse Shell)، مما يتيح للمهاجمين تنفيذ أوامر عن بُعد على النظام المصاب.

أدوات متقدمة لجمع البيانات وسرقتها

استُخدمت أدوات متنوعة في هذه الحملة لجمع بيانات الاعتماد والمعلومات الحساسة، ومن أبرزها:

  • نسخة معدلة من أداة Pillager لسرقة كلمات المرور من المتصفحات وقواعد البيانات وأدوات إدارية مثل MobaXterm، بالإضافة إلى الشيفرات المصدرية ولقطات الشاشة ومحادثات البريد الإلكتروني ومعلومات الجلسات SSH وFTP وقوائم البرامج المثبتة ونتائج أوامر systeminfo وtasklist.

  • أداة Checkout لسرقة بيانات الملفات التي تم تحميلها، وكذلك بطاقات الائتمان المحفوظة في متصفحات مثل Yandex وOpera وOperaGX وVivaldi وChrome وBrave وCốc Cốc.

  • أداة RawCopy لنسخ ملفات السجل الخام (Registry).

  • أداة Mimikatz لتفريغ بيانات اعتماد الحسابات.

وأشارت كاسبرسكي إلى أن المهاجمين يستخدمون مزيجًا من الأدوات المصممة خصيصًا والأدوات المتاحة بشكل علني، بما في ذلك أدوات اختبار الاختراق مثل Cobalt Strike في مراحل متعددة من الهجوم.

كما أظهرت الحملة قدرة عالية لدى المهاجمين على التكيف مع بيئة الضحية، وتحديث أدواتهم الخبيثة بما يتناسب مع الخصائص الفريدة لكل بنية تحتية، بل واستغلال الخدمات الداخلية للتواصل مع خوادم القيادة والتحكم وتهريب البيانات.

وتبرز هذه العملية الخط الفاصل الضبابي بين أدوات الاختبار الأحمر وأنشطة التجسس الفعلية، حيث يستخدم المهاجمون أطرًا علنية مثل Impacket وMimikatz وCobalt Strike إلى جانب برمجيات خاصة، ما يزيد من تعقيد مهمة فرق الدفاع السيبراني في رصد التنقلات الأفقية وسرقة بيانات الاعتماد وتفادي الدفاعات الأمنية ضمن بيئات ويندوز.

وسوم
محمد وهبى
محمد وهبى
المقالات: 423

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة