وأوضحت الشركة أن حملة المجموعة “أثرت على عشرات من الضحايا، بما في ذلك كيانات حكومية ومنظمات اتصالات، عبر أوروبا وآسيا وإفريقيا”، مشيرة إلى أن نشاطها لا يزال مستمرًا. تتميز عمليات التسلل هذه بأنها تجمع بين “هندسة برمجيات قوية، وسيناريوهات تشغيلية منضبطة، واستعداد لإعادة استخدام الأدوات الأصلية للمنصة لتمويه نشاطها ضمن بيانات المراقبة الاعتيادية للمؤسسات”.
أساليب متطورة للوصول والتسلل
تعتمد سلسلة الهجمات التي ينفذها الخصم على استغلال الثغرات في الخدمات والتطبيقات الويب المعرضة للإنترنت لوضع أصداف ويب (Web Shells). تُستخدم هذه الأصداف لاحقًا لتسليم حمولات إضافية مثل VARGEIT وإشارات Cobalt Strike لتسهيل الاتصال بخوادم التحكم (C2)، واكتشاف الشبكة، والانتقال الأفقي داخلها، وتجنب أنظمة الدفاع، وتسريب البيانات.
من الأدوات اللافتة أيضًا في ترسانة المجموعة برنامج NANOREMOTE الخلفي، الذي يستخدم واجهة برمجة تطبيقات جوجل درايف لتحميل وتنزيل الملفات بين الخادم المسيطر عليه والجهاز المخترق، مما يزيد من صعوبة التتبع.
تحويل الخوادم المخترقة إلى بنية تحتية للقرصنة
اعتمدت المجموعة تقنيات ذكية لتعزيز مرونتها، منها استغلال مفاتيح آلة ASP.NET المتوقعة أو غير المدارة جيدًا لتنفيذ هجمات إلغاء التسلسل ضد خوادم IIS و SharePoint الضعيفة. ثم تقوم بتثبيت وحدة مخصصة لبرنامج ShadowPad الخبيث على هذه الخوادم لتحويلها إلى جزء من بنيتها التحتية للتحكم والسيطرة (C2).
هذا التصميم يسمح للمهاجمين بتوجيه حركة المرور ليس فقط أعمق داخل شبكة المنظمة الواحدة، ولكن عبر شبكات الضحايا المختلفة تمامًا. ونتيجة لذلك، يمكن لاختراق واحد أن يصبح بهدوء قفزة أخرى في بنية تحتية عالمية متعددة الطبقات تدعم حملات مستمرة في أماكن أخرى.
تصعيد الصلاحيات والتحكم الكامل في النطاق
نفذت المجموعة خطوات معقدة لضمان استمرارية وجودها وتحقيق سيطرة شاملة، شملت:
-
استخدام مفتاح آلة IIS للحصول على بيانات اعتماد مسؤول محلي والاستفادة منها للانتقال الأفقي عبر نفق RDP.
-
إنشاء مهام مجدولة وخدمات لضمان الاستمرارية.
-
تفريغ ذاكرة LSASS واستخراج سجلات النظام لتصعيد الامتيازات.
-
تعديل قواعد جدار الحماية للسماح بحركة المرور الصادرة وتحويل الأجهزة المصابة إلى شبكة تمرير لبرمجية ShadowPad.
في حالة واحدة على الأقل، حددت المجموعة جلسة RDP خاملة تابعة لمسؤول النطاق، واستغلتها لاستخراج بيانات الاعتماد من الذاكرة، مما مكنها من تنفيذ عمليات SMB مصادق عليها وكتابة المشاركات الإدارية وسرقة قاعدة بيانات NTDS.dit، لتحقيق بذلك تصعيد امتيازات وتحكم على مستوى النطاق بالكامل.
ترسانة برمجيات خبيثة معقدة ومتطورة
تعتمد عمليات التسلل على عدد من المكونات البرمجية بدلاً من برنامج خلفي واحد، من أجل إقامة وجود طويل الأمد، تشمل:
-
ShadowPad Loader: لتفكيك تشفير وتشغيل الوحدة الأساسية لبرنامج ShadowPad في الذاكرة.
-
FINALDRAFT: إصدار محدث من أداة الإدارة البعيدة المعروفة (سكويدور) التي تسيء استخدام Outlook وواجهة Microsoft Graph API للتحكم.
-
برامج محملة أخرى مثل CDBLoader و LalsDumper و 032Loader لأغراض التصحيح وسرقة بيانات الاعتماد وتنفيذ الحمولات.
أشارت “تشيك بوينت” إلى أن المجموعة قدمت متغيرًا جديدًا من برمجية FINALDRAFT يتمتع بتخفي معزز وقدرة أعلى على تسريب البيانات، إلى جانب تقنيات متطورة للتجنب تمكن من الانتقال الأفقي الخفي ونشر البرمجيات الخبيثة متعددة المراحل عبر الشبكات المخترقة.
