رُصدت مجموعة تهديد سيبراني يُعتقد بارتباطها بباكستان تستهدف قطاعات متنوعة في الهند باستخدام أدوات تحكم عن بُعد (RATs) مثل Xeno RAT وSpark RAT، بالإضافة إلى عائلة برمجيات خبيثة جديدة لم تُوثق من قبل تُعرف باسم CurlBack RAT.
تم اكتشاف هذا النشاط من قبل شركة SEQRITE في ديسمبر 2024، حيث استهدفت المجموعة جهات هندية ضمن وزارات السكك الحديدية، والنفط والغاز، والشؤون الخارجية، مما يشير إلى توسّع في نطاق استهداف المجموعة بعد أن كان يقتصر سابقًا على قطاعات حكومية، ودفاعية، وبحرية، وجامعات.
تغيير في آليات الهجوم
قال الباحث الأمني “ساتويك رام براكي”:
“أحد التغييرات البارزة في الحملات الأخيرة هو الانتقال من استخدام ملفات تطبيقات HTML (HTA) إلى حزم التثبيت من نوع MSI كآلية أولية لبدء الهجوم”.
ويُعتقد أن هذه المجموعة المعروفة باسم SideCopy هي فرع تابع لمجموعة Transparent Tribe (المعروفة أيضًا باسم APT36)، وتنشط منذ عام 2019 على الأقل. وقد استمدّت اسمها من تقليدها لسلاسل هجوم مجموعة أخرى تُدعى SideWinder لتوزيع حمولاتها الخبيثة.
أدوات وتقنيات معقدة
في يونيو 2024، سلّطت SEQRITE الضوء على استخدام SideCopy لملفات HTA مشفّرة، تتضمّن روابط تؤدي إلى ملفات RTF تُستخدم أيضًا في هجمات SideWinder.
وكانت هذه الهجمات تؤدي في النهاية إلى نشر برمجيات خبيثة مثل Action RAT وReverseRAT، بالإضافة إلى أدوات أخرى مثل Cheex لسرقة الوثائق والصور، وأداة نسخ من وحدات USB، وأداة Geta RAT المكتوبة بلغة #C، والقادرة على تنفيذ أكثر من 30 أمرًا عن بُعد.
كما يتميز Geta RAT بقدرته على سرقة بيانات المتصفحات مثل Firefox وChrome، بما في ذلك الحسابات والكوكيز، وهي ميزة مأخوذة من برمجية AsyncRAT.
وقالت SEQRITE:
“تركز مجموعة APT36 بشكل أساسي على أنظمة Linux، بينما تستهدف SideCopy أنظمة Windows مع إضافة حمولات خبيثة جديدة إلى ترسانتها”.
CurlBack RAT وSpark RAT
تشير النتائج الأخيرة إلى نضج مستمر في قدرات هذه المجموعة، حيث تعتمد الآن بشكل أكبر على هجمات التصيّد الإلكتروني عبر البريد الإلكتروني لتوزيع البرمجيات الخبيثة. وتتضمّن هذه الرسائل ملفات مُضللة، مثل قوائم العطل الرسمية لموظفي السكك الحديدية، أو تعليمات أمنية صادرة عن مؤسسة هندية عامة مثل HPCL.
واحدة من الحملات الجديرة بالملاحظة هي تلك التي تستهدف أنظمة Windows وLinux على حد سواء، حيث تنشر برمجية Spark RAT عبر المنصات، إلى جانب برمجية جديدة لنظام Windows تُعرف باسم CurlBack RAT، والتي تتيح للمهاجم:
-
جمع معلومات النظام
-
تحميل الملفات من الجهاز الضحية
-
تنفيذ أوامر عشوائية
-
تصعيد الامتيازات
-
عرض حسابات المستخدمين
تقنيات متقدمة وتكتيكات خادعة
رُصدت حملة أخرى تعتمد على ملفات وهمية كبداية لسلسلة إصابة متعددة المراحل تؤدي في النهاية إلى نشر نسخة معدّلة من Xeno RAT، والتي تعتمد على تقنيات تحليل النصوص البسيطة.
وأوضحت SEQRITE:
“انتقلت المجموعة من استخدام ملفات HTA إلى حزم MSI كآلية أولية، وتواصل استخدام تقنيات متقدمة مثل تحميل DLL الخادع، والتحميل الانعكاسي، وفك تشفير AES عبر PowerShell”.
كما أشارت إلى استخدام أدوات مفتوحة المصدر معدّلة مثل Xeno RAT وSpark RAT، إلى جانب نشر البرمجية الجديدة CurlBack RAT. كما تستخدم المجموعة نطاقات مُخترقة ومواقع مزيفة لغرض سرقة بيانات تسجيل الدخول واستضافة البرمجيات الخبيثة، مما يعكس جهودها المستمرة لتعزيز القدرة على التخفّي والاستمرارية داخل الأنظمة المستهدفة.
