تم اكتشاف مجموعة نشاط تهديد غير معروفة سابقًا تستهدف المنظمات الأوروبية، وخاصة تلك العاملة في قطاع الرعاية الصحية، لنشر برمجيات PlugX ونسختها المطورة ShadowPad، حيث أدت هذه الاختراقات في بعض الحالات إلى نشر برنامج فدية يُعرف باسم NailaoLocker.
تمت تسمية الحملة بـ “Green Nailao” من قبل فريق Orange Cyberdefense CERT، واعتمدت على استغلال ثغرة أمنية حديثة الإصلاح في منتجات أمان بوابات شبكة Check Point (CVE-2024-24919، درجة CVSS: 7.5). وتم رصد الهجمات بين يونيو وأكتوبر 2024.
وقالت الشركة في تقرير تقني شاركته مع The Hacker News: “اعتمدت الحملة على تقنية اختطاف ترتيب البحث عن مكتبات الربط الديناميكية (DLL) لنشر ShadowPad وPlugX – وهما برمجيتان خبيثتان غالبًا ما ترتبطان باختراقات مستهدفة ذات صلة بالصين.”
الأمن السيبراني
ووفقًا للتقرير، فإن الوصول الأولي الذي تم تحقيقه من خلال استغلال الثغرة في منتجات Check Point سمح للمهاجمين بسرقة بيانات اعتماد المستخدمين والاتصال بشبكة VPN باستخدام حساب شرعي.
في المرحلة التالية، قام المهاجمون بإجراء استطلاع للشبكة والتحرك الأفقي عبر بروتوكول سطح المكتب البعيد (RDP) للحصول على صلاحيات متقدمة، تليها تنفيذ ملف ثنائي شرعي (“logger.exe”) لتحميل مكتبة DLL خبيثة (“logexts.dll”) التي تعمل بعد ذلك كحامل لإصدار جديد من برنامج ShadowPad الخبيث.
وقد تم اكتشاف هجمات سابقة في أغسطس 2024 تعتمد على تقنيات مماثلة لتوصيل برنامج PlugX، والذي يستخدم أيضًا تقنية تحميل DLL الجانبي باستخدام ملف تنفيذي من McAfee (“mcoemcpy.exe”) لتحميل “McUtil.dll.”
مثل PlugX، يعتبر ShadowPad برنامجًا خبيثًا يتم بيعه بشكل خاص ويستخدم حصريًا من قبل جهات تجسس صينية منذ عام 2015 على الأقل. النسخة التي حددها فريق Orange Cyberdefense CERT تتمتع بتقنيات تعمية متقدمة وإجراءات مضادة للتصحيح، بالإضافة إلى إنشاء اتصال مع خادم بعيد لإنشاء وصول مستمر لأنظمة الضحايا.
استخراج البيانات ونشر برامج الفدية
هناك أدلة تشير إلى أن المهاجمين حاولوا استخراج البيانات من خلال الوصول إلى نظام الملفات وإنشاء أرشيفات ZIP. وتنتهي الاختراقات باستخدام أداة إدارة Windows (WMI) لإرسال ثلاثة ملفات: ملف تنفيذي شرعي موقّع من قبل شركة Beijing Huorong Network Technology Co., Ltd (“usysdiag.exe”)، وحمّال يُسمى NailaoLoader (“sensapi.dll”)، وبرنامج الفدية NailaoLocker (“usysdiag.exe.dat”).
مرة أخرى، يتم تحميل ملف DLL عبر “usysdiag.exe” لفك تشفير وتنفيذ برنامج NailaoLocker، وهو برنامج فدية مكتوب بلغة C++ يقوم بتشفير الملفات وإلحاقها بامتداد “.locked” وإسقاط ملاحظة فدية تطلب من الضحايا دفع مبلغ من البيتكوين أو الاتصال بعنوان بريد إلكتروني على Proton Mail.
وقال الباحثون مارين بيتشون وأليكسيس بونفوا: “برنامج NailaoLocker غير متطور نسبيًا ومصمم بشكل سيء، ويبدو أنه غير مخصص لضمان التشفير الكاملK فهو لا يفحص مشاركات الشبكة، ولا يوقف الخدمات أو العمليات التي يمكن أن تمنع تشفير بعض الملفات المهمة، ولا يتحقق مما إذا كان يتم تصحيحه.”
ارتباط الصين بالهجمات
أعطى فريق Orange نسبة متوسطة من الثقة بأن هذه الأنشطة مرتبطة بجهة تهديد صينية بسبب استخدام برنامج ShadowPad، وتقنيات تحميل DLL الجانبي، وحقيقة أن مخططات برامج الفدية المماثلة قد نُسبت إلى مجموعة تهديد صينية أخرى تُعرف باسم Bronze Starlight.
علاوة على ذلك، تمت ملاحظة استخدام “usysdiag.exe” لتحميل الحمولات المرحلية التالية في هجمات سابقة نفذتها مجموعة اختراق مرتبطة بالصين وتتبعها Sophos تحت اسم Cluster Alpha (المعروفة أيضًا باسم STAC1248).
أهداف الحملة
بينما تبقى الأهداف الدقيقة للحملة التي تجمع بين التجسس وبرامج الفدية غير واضحة، يُشتبه في أن الجهة الفاعلة تهدف إلى تحقيق أرباح سريعة على الجانب.
وقال الباحثون: “قد يساعد هذا في تفسير التباين في التطور بين ShadowPad وNailaoLocker، حيث يحاول NailaoLocker أحيانًا تقليد تقنيات تحميل ShadowPad. في حين أن مثل هذه الحملات يمكن أن تُنفذ بشكل انتهازي، إلا أنها غالبًا ما تسمح لمجموعات التهديد بالوصول إلى أنظمة المعلومات التي يمكن استخدامها لاحقًا لإجراء عمليات هجومية أخرى.”
