قراصنة صينيون يستهدفون الحكومات والشركات في حملة تجسس واسعة
يستخدم SneakyChef الإغراءات التي يتم مسحها ضوئيًا من المستندات الخاصة بالوكالات الحكومية، والتي يرتبط معظمها بوزارات الخارجية أو السفارات في مختلف البلدان،" هذا ما قاله تشيتان راغوبراساد وأشلي شين، الباحثان في شركة Cisco Talos
متابعه مكسي نيوز
قرصنة الصينيون…..ممثل تهديد ناطق باللغة الصينية غير موثق سابقًا يحمل الاسم الرمزي متستر تم ربطه بحملة تجسس تستهدف في المقام الأول الكيانات الحكومية في جميع أنحاء آسيا وأوروبا والشرق الأوسط وأفريقيا (أوروبا والشرق الأوسط وأفريقيا) باستخدام البرامج الضارة SugarGh0st منذ أغسطس 2023 على الأقل.
“يستخدم SneakyChef الإغراءات التي يتم مسحها ضوئيًا من المستندات الخاصة بالوكالات الحكومية، والتي يرتبط معظمها بوزارات الخارجية أو السفارات في مختلف البلدان،” هذا ما قاله تشيتان راغوبراساد وأشلي شين، الباحثان في شركة Cisco Talos. قال في تحليل نشر اليوم.
تم تسليط الضوء على الأنشطة المتعلقة بطاقم القرصنة لأول مرة من قبل شركة الأمن السيبراني في أواخر نوفمبر 2023 فيما يتعلق بحملة هجومية خصت كوريا الجنوبية وأوزبكستان بنسخة مخصصة من Gh0st RAT تسمى سكرGh0st.
وكشف تحليل لاحق من Proofpoint الشهر الماضي عن استخدام SugarGh0st RAT ضد المنظمات الأمريكية المشاركة في جهود الذكاء الاصطناعي، بما في ذلك تلك الموجودة في الأوساط الأكاديمية والصناعات الخاصة والخدمات الحكومية. إنه يتتبع المجموعة تحت اسم UNK_SweetSpecter.
ومن الجدير بالذكر في هذه المرحلة أن SneakyChef يشير إلى نفس الحملة التي أطلقت عليها الوحدة 42 من Palo Alto Networks الاسم الرمزي Operation Diplomatic Spectre. ولا يزال هذا النشاط، وفقًا لمزود الخدمات الأمنية، مستمرًا منذ أواخر عام 2022 على الأقل، ويضرب الكيانات الحكومية في الشرق الأوسط وأفريقيا وآسيا.
وقالت تالوس إنها لاحظت منذ ذلك الحين استخدام نفس البرامج الضارة للتركيز على الأرجح على مختلف الكيانات الحكومية في جميع أنحاء أنغولا والهند ولاتفيا والمملكة العربية السعودية وتركمانستان بناءً على وثائق الإغراء المستخدمة في حملات التصيد الاحتيالي، مما يشير إلى اتساع نطاقها. من الدول المستهدفة
بالإضافة إلى الاستفادة من سلاسل الهجوم التي تستخدم ملفات Windows Shortcut (LNK) المضمنة في أرشيفات RAR لتوصيل SugarGh0st، فقد وجد أن الموجة الجديدة تستخدم أرشيف RAR ذاتي الاستخراج (SFX) كمتجه عدوى أولي لإطلاق Visual البرنامج النصي الأساسي (VBS) الذي يقوم في النهاية بتنفيذ البرامج الضارة عن طريق أداة التحميل بينما يعرض الملف الخادع في نفس الوقت.
كما أن الهجمات ضد أنغولا جديرة بالملاحظة أيضًا لأنها تستخدم فيروس طروادة الجديد الذي يمكن الوصول إليه عن بعد والذي يحمل الاسم الرمزي SpiceRAT باستخدام إغراءات من Neytralny Turkmenistan، وهي صحيفة ناطقة بالروسية في تركمانستان.
تستخدم SpiceRAT، من جانبها، سلسلتين مختلفتين من سلاسل العدوى للنشر، تستخدم إحداهما ملف LNK الموجود داخل أرشيف RAR الذي ينشر البرامج الضارة باستخدام تقنيات التحميل الجانبي لـ DLL.
وقال الباحثون: “عندما يستخرج الضحية ملف RAR، فإنه يسقط LNK ومجلدًا مخفيًا على أجهزتهم”. قال. “بعد أن يفتح الضحية ملف الاختصار، الذي يتنكر في شكل مستند PDF، فإنه ينفذ أمرًا مضمنًا لتشغيل مشغل البرامج الضارة القابل للتنفيذ من المجلد المخفي الذي تم إسقاطه.”
يشرع المشغل بعد ذلك في عرض المستند الخادع للضحية وتشغيل ملف ثنائي شرعي (“dxcap.exe”)، والذي يقوم لاحقًا بتحميل ملف DLL ضار مسؤول عن تحميل SpiceRAT.
يستلزم البديل الثاني استخدام تطبيق HTML (HTA) الذي يسقط البرنامج النصي الدفعي لنظام التشغيل Windows وبرنامج التنزيل الثنائي المشفر باستخدام Base64، حيث يقوم الأول بتشغيل الملف القابل للتنفيذ عن طريق مهمة مجدولة كل خمس دقائق.
تم تصميم البرنامج النصي الدفعي أيضًا لتشغيل “ChromeDriver.exe” شرعي آخر قابل للتنفيذ كل 10 دقائق، والذي يقوم بعد ذلك بتحميل ملف DLL مخادع والذي بدوره يقوم بتحميل SpiceRAT. يتم استخراج كل من هذه المكونات – ChromeDriver.exe، وDLL، وحمولة RAT – من أرشيف ZIP تم استرداده بواسطة برنامج التنزيل الثنائي من خادم بعيد.
يستفيد SpiceRAT أيضًا من تقنية التحميل الجانبي لـ DLL لبدء أداة تحميل DLL، والتي تلتقط قائمة العمليات الجارية للتحقق مما إذا كان قد تم تصحيح أخطائها، متبوعة بتشغيل الوحدة الرئيسية من الذاكرة.
وقال تالوس: “مع القدرة على تنزيل وتشغيل الثنائيات القابلة للتنفيذ والأوامر التعسفية، يزيد SpiceRAT بشكل كبير من سطح الهجوم على شبكة الضحية، مما يمهد الطريق لمزيد من الهجمات”.
(تم تحديث القصة بعد نشرها لتشمل ردًا من Cisco Talos يؤكد الروابط بين SneakyChef وOperation Diplomatic Spectre.)