“MirrorFace” تنشر ANEL وAsyncRAT في عملية تجسس إلكتروني جديدة

 "MirrorFace" تنشر ANEL وAsyncRAT في عملية تجسس إلكتروني جديدة
 "MirrorFace" تنشر ANEL وAsyncRAT في عملية تجسس إلكتروني جديدة
شارك هذا الخبر

ألقى خبراء الأمن السيبراني الضوء على حملة برمجيات خبيثة جديدة نفذتها مجموعة MirrorFace المرتبطة بالصين، مستهدفةً منظمة دبلوماسية في الاتحاد الأوروبي باستخدام باب خلفي يُعرف باسم ANEL.

تم اكتشاف الهجوم بواسطة شركة ESET في أواخر أغسطس 2024، حيث استهدف معهدًا دبلوماسيًا في وسط أوروبا، باستخدام طعوم مرتبطة بمعرض “إكسبو” العالمي المقرر إقامته في أوساكا، اليابان، الشهر المقبل.

عملية AkaiRyū: تحول في الاستراتيجية

تمت تسمية هذا النشاط باسم “عملية AkaiRyū” (التنين الأحمر باليابانية). وقد نشطت مجموعة MirrorFace منذ عام 2019 على الأقل، وتُعرف أيضًا باسم Earth Kasha، وتعتبر جزءًا من مجموعة التهديدات المتقدمة المستمرة (APT10).

وعلى الرغم من أن المجموعة معروفة باستهدافها الحصري للكيانات اليابانية، فإن استهدافها لمنظمة أوروبية يمثل تحولًا في استراتيجيتها.

البرمجيات الخبيثة المستخدمة: ANEL و AsyncRAT

يتميز الهجوم باستخدام نسخة مخصصة بشدة من AsyncRAT، بالإضافة إلى باب خلفي ANEL (المعروف أيضًا باسم UPPERCUT)، وهو أداة تجسس إلكتروني سبق ربطها بمجموعة APT10.

يمثل استخدام ANEL تطورًا هامًا، حيث يشير إلى تخلي المجموعة عن LODEINFO وعودة ANEL بعد توقفه في أواخر 2018 أو أوائل 2019. ووفقًا لما قاله الباحث الأمني دومينيك برايتنباخر من ESET: “لسوء الحظ، لا نعرف السبب الدقيق لانتقال MirrorFace من LODEINFO إلى ANEL، ولكننا لم نرَ استخدام LODEINFO خلال عام 2024 أو حتى الآن في 2025.”

تقنيات الهجوم: التحايل والاختراق العميق

أكدت شركة ESET أن “عملية AkaiRyū” تتداخل مع “الحملة C” التي وثقتها وكالة الشرطة الوطنية اليابانية (NPA) والمركز الوطني لاستعداد الحوادث والاستراتيجية للأمن السيبراني (NCSC) في يناير الماضي.

ومن أبرز الأساليب التي استخدمها الهجوم:

  • استخدام نسخة معدلة من AsyncRAT لتعزيز القدرة على التخفي.
  • الاعتماد على Visual Studio Code Remote Tunnels للوصول غير المرئي إلى الأجهزة المصابة، وهي تقنية تستخدمها العديد من مجموعات القرصنة الصينية.
  • هجمات التصيد الإلكتروني (Spear-Phishing) التي تخدع الضحايا لفتح مستندات أو روابط خبيثة.
  • تحميل مكونات ضارة مثل ANELLDR باستخدام تقنية تحميل DLL الجانبي (DLL Side-Loading)، مما يؤدي إلى فك تشفير وتشغيل ANEL.
  • نشر باب خلفي جديد يُعرف باسم HiddenFace (أو NOOPDOOR)، وهو مخصص حصريًا لمجموعة MirrorFace.

تحديات التحقيق وتعزيز الأمان السيبراني

رغم الكشف عن تفاصيل الهجوم، لا تزال هناك العديد من الألغاز التي تعيق تكوين صورة كاملة عن الأنشطة الخبيثة لمجموعة MirrorFace. ويعود ذلك إلى تطور أساليبهم في تأمين عملياتهم، مثل:

  • حذف الأدوات والملفات المستخدمة في الهجمات لتقليل فرص تتبعهم.
  • مسح سجلات أحداث Windows لمنع المحققين من تحديد مسار الهجوم.
  • تشغيل البرمجيات الخبيثة داخل بيئة Windows Sandbox لزيادة تعقيد عملية التحليل.

 

 

وسوم
محمد وهبى
محمد وهبى
المقالات: 106

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة