استراتيجيات متطورة لاختراق الأنظمة
اعتمدت المجموعة استراتيجيات متعددة للوصول الأولي إلى الأنظمة المستهدفة، منها استغلال العلاقات مع موردين خارجيين للوصول إلى عملائهم، والخروج من البيئات الافتراضية (VDI) التابعة لأطراف ثالثة، وحملات التصيد المستهدفة ذات الصلة بالمهام الوظيفية. وتميزت المجموعة بتركيزها على موظفي تكنولوجيا المعلومات والإداريين للحصول على بيانات اعتماد ذات صلاحيات متقدمة تمكنهم من الوصول العميق إلى الشبكات.
أدوات متطورة وجمع منهجي للبيانات
استخدم القراصنة مجموعة من الأدوات المخصصة لجمع المعلومات الحساسة، حيث شملت “MINIBIKE” لجمع بيانات النظام وسرقة بيانات الاعتماد، و”TWOSTROKE” لجمع المعلومات وتحميل المكتبات الديناميكية، و”DEEPROOT” لتنفيذ أوامر النظام على أجهزة لينكس. كما استخدموا أدوات أخرى مثل “LIGHTRAIL” و”GHOSTLINE” لإنشاء أنفاق اتصال، و”DCSYNCER.SLICK” لتصعيد الصلاحيات، و”TRUSTTRAP” لخداع المستخدمين للحصول على بيانات اعتمادهم.
استمرارية الاختراق وتجنب الكشف
تميزت حملة UNC1549 بقدرتها على الحفاظ على استمرارية الوصول حتى بعد اكتشاف الاختراق، حيث تزرع أبواباً خلفية تبقى خاملة لشهور قبل تفعيلها لاستعادة الوصول. واستخدمت المجموعة تقنيات متقدمة لتجنب الكشف مثل الاتصالات العكسية عبر SSH التي تحد من الأدلة الجنائية، والنطاقات التي تحاكي بشكل استراتيجي صناعة الضحية، مما يجعل الاكتشاف والاستجابة أكثر تعقيداً.
