كشفت شركة الأمن السيبراني SentinelOne عن حملة تجسس إلكتروني مرتبطة بالصين أطلقتها مجموعة تهديد تُعرف باسم PurpleHaze، استهدفت بنيتها التحتية إلى جانب عدد من عملائها ذوي القيمة العالية.
وأوضح الباحثون الأمنيون توم هيجل وألكسندر ميلينكوفسكي وجيم والتر في تحليل نُشر يوم الإثنين:
“أول مرة اكتشفنا هذه المجموعة كانت خلال اختراق في عام 2024 استهدف منظمة كانت توفر سابقاً خدمات لوجستية للأجهزة لموظفي SentinelOne”.
من هي مجموعة PurpleHaze؟
تُصنف مجموعة PurpleHaze كجهة قرصنة سيبرانية ذات صلة غير مباشرة بمجموعة APT15 المدعومة من الحكومة الصينية، والتي تُعرف أيضاً بأسماء مثل:
Flea، Nylon Typhoon (سابقاً Nickel)، Playful Taurus، Royal APT، وVixen Panda.
وفي أكتوبر 2024، تم رصد أنشطة مماثلة للمجموعة استهدفت كياناً حكومياً غير مسمى في جنوب آسيا، مستخدمةً شبكة ORB (صندوق ترحيل العمليات) وبرمجية خبيثة تعمل كباب خلفي تُدعى GoReShell.
تمت برمجة GoReShell بلغة Go، وتعتمد على أداة مفتوحة المصدر لإنشاء اتصالات SSH عكسية تتيح للمهاجمين السيطرة على الأنظمة المصابة.
البنية التحتية المتطورة لمجموعة التجسس
أكد الباحثون أن:
“استخدام شبكات ORB يُمثل اتجاهاً متصاعداً بين مجموعات التجسس المدعومة من دول، حيث يتيح هذا النهج إنشاء بنية تحتية ديناميكية ومتغيرة تصعّب عملية التتبع ونسب الأنشطة السيبرانية للجهات الفاعلة”.
وفي تحليل لاحق، تبيّن أن نفس الكيان الحكومي قد تم استهدافه سابقاً في يونيو 2024 باستخدام برمجية ShadowPad المعروفة أيضاً باسم PoisonPlug، والتي تُستخدم على نطاق واسع من قبل مجموعات التجسس الصينية وتُعد خلفاً لأداة PlugX.
اللافت أن نسخة ShadowPad المستخدمة في هذا الهجوم كانت مشفّرة باستخدام أداة مخصصة تُدعى ScatterBrain، مما يُصعّب اكتشافها.
استهداف منظم لمؤسسات عالمية
تُشير التقديرات إلى أن برمجية ShadowPad المُشفّرة بـ ScatterBrain قد استُخدمت في اختراقات استهدفت أكثر من 70 منظمة في مجالات مثل:
-
الصناعة
-
الحكومات
-
القطاع المالي
-
الاتصالات
-
مراكز الأبحاث
ويُعتقد أن المهاجمين استغلوا ثغرة N-day في أجهزة Check Point Gateway للولوج إلى تلك المؤسسات.
SentinelOne كانت هدفًا مباشرًا
كانت إحدى الجهات المستهدفة هي المنظمة المسؤولة آنذاك عن إدارة اللوجستيات التقنية لموظفي SentinelOne.
ورغم الهجوم، أكدت SentinelOne أنه “لم يتم رصد أي اختراق ثانوي” لبنيتها التحتية.
محاولات اختراق عبر التوظيف من كوريا الشمالية
كشفت SentinelOne أيضاً عن محاولات من موظفين تابعين لكوريا الشمالية للحصول على وظائف داخل الشركة، بما في ذلك في قسم استخبارات التهديدات SentinelLabs، باستخدام أكثر من 360 هوية مزيفة وأكثر من 1,000 طلب توظيف.
تهديدات الفدية: أدوات الأمن أصبحت هدفًا
لم تسلم SentinelOne ومنصات الأمن السيبراني الأخرى من هجمات عصابات الفدية، حيث سعت تلك العصابات للوصول إلى أدوات الحماية وتحليل قدرتها على رصد البرمجيات الخبيثة.
وأوضحت SentinelOne أن هذه الأنشطة تغذيها سوق سوداء نشطة على تطبيقات المراسلة ومنتديات الويب المظلم مثل:
-
XSS[.]is
-
Exploit[.]in
-
RAMP
وتُباع في هذه الأسواق خدمات مثل “اختبار أنظمة EDR كخدمة“، والتي تتيح للمهاجمين اختبار برمجياتهم الخبيثة ضد أنظمة الحماية في بيئات شبه خاصة.
مجموعة Nitrogen: مستوى جديد من التهديد
واحدة من أخطر عصابات الفدية هي مجموعة Nitrogen التي يُعتقد أنها تُدار من قبل مواطن روسي.
بدلاً من اختراق الأنظمة عبر موظفين من الداخل، تعتمد Nitrogen على هندسة اجتماعية عالية الدقة من خلال:
-
إنشاء مواقع إلكترونية مشابهة لشركات حقيقية
-
استخدام عناوين بريد إلكتروني مزيفة
-
محاكاة البنية التحتية لتلك الشركات
-
شراء تراخيص رسمية لأدوات الأمن مثل EDR
“تنفذ هذه العمليات بخداع احترافي”، بحسب الباحثين.
“تستهدف المجموعة عادةً موزعين صغار لم يتم التحقق منهم بدقة، وتستغل ضعف إجراءات التعرف على العملاء (KYC) للنفاذ إلى الأنظمة دون كشف”.
