Cloudflare تحذير هجمات سيبرانية تستهدف الشركات الهندية عبر نقاط ضعف السحابة
تمت ملاحظة جهة تهديد متقدمة ذات صلة بالهند تستخدم العديد من موفري الخدمات السحابية لتسهيل جمع بيانات الاعتماد وتسليم البرامج الضارة والقيادة والتحكم (C2).
تمت ملاحظة جهة تهديد متقدمة ذات صلة بالهند تستخدم العديد من موفري الخدمات السحابية لتسهيل جمع بيانات الاعتماد وتسليم البرامج الضارة والقيادة والتحكم (C2).
تقوم شركة Cloudflare للبنية التحتية والأمن للويب بتتبع النشاط تحت الاسم SloppyLemming، والذي يسمى أيضًا النمر الغريب وفيل الصيد.
“من أواخر عام 2022 إلى الوقت الحاضر، استخدمت SloppyLemming بشكل روتيني Cloudflare Workers، على الأرجح كجزء من حملة تجسس واسعة النطاق تستهدف دول جنوب وشرق آسيا،” Cloudflare قال في التحليل.
تم تقييم SloppyLemming على أنه نشط منذ يوليو 2021 على الأقل، مع الحملات السابقة التي تستفيد من البرامج الضارة مثل Ares RAT وWarHawk، والتي ترتبط الأخيرة أيضًا بطاقم قرصنة معروف يسمى SideWinder. من ناحية أخرى، يُعزى استخدام Ares RAT إلى SideCopy، وهو جهة تهديد من المحتمل أن تكون من أصل باكستاني.
تشمل أهداف نشاط SloppyLemming الكيانات الحكومية وإنفاذ القانون والطاقة والتعليم والاتصالات والتكنولوجيا الموجودة في باكستان وسريلانكا وبنغلاديش والصين ونيبال وإندونيسيا.
تتضمن سلاسل الهجوم إرسال رسائل بريد إلكتروني للتصيد الاحتيالي إلى أهداف تهدف إلى خداع المستلمين للنقر على رابط ضار عن طريق إثارة شعور زائف بالإلحاح، مدعيين أنهم بحاجة إلى إكمال عملية إلزامية خلال الـ 24 ساعة القادمة.
يؤدي النقر فوق عنوان URL إلى نقل الضحية إلى صفحة تجميع بيانات الاعتماد، والتي تعمل بعد ذلك كآلية لممثل التهديد للحصول على وصول غير مصرح به إلى حسابات البريد الإلكتروني المستهدفة داخل المؤسسات محل الاهتمام.
وقالت الشركة: “يستخدم الممثل أداة مصممة خصيصًا تسمى CloudPhish لإنشاء Cloudflare Worker الخبيث للتعامل مع منطق تسجيل بيانات الاعتماد وتسريب بيانات اعتماد الضحية إلى جهة التهديد”.
استفادت بعض الهجمات التي نفذتها SloppyLemming من تقنيات مماثلة لالتقاط رموز Google OAuth، بالإضافة إلى استخدام أرشيفات RAR المفخخة (“CamScanner 06-10-2024 15.29.rar”) والتي من المحتمل أن تستغل ثغرة WinRAR (CVE-2023- 38831) لتحقيق تنفيذ التعليمات البرمجية عن بعد.
يوجد داخل ملف RAR ملف قابل للتنفيذ، بالإضافة إلى عرض المستند الخادع، يقوم بتحميل “CRYPTSP.dll” خلسة، والذي يعمل بمثابة أداة تنزيل لاسترداد حصان طروادة للوصول عن بعد والمستضاف على Dropbox.
ومن الجدير بالذكر هنا أن شركة الأمن السيبراني SEQRITE قامت بتفصيل حملة مماثلة قامت بها الجهات الفاعلة SideCopy العام الماضي واستهدفت الحكومة الهندية وقطاعات الدفاع لتوزيع Ares RAT باستخدام أرشيفات ZIP المسماة “DocScanner_AUG_2023.zip” و”DocScanner-Oct.zip” التي تم تصميمها. لإثارة نفس الثغرة الأمنية.
يستلزم تسلسل العدوى الثالث الذي تستخدمه SloppyLemming استخدام إغراءات التصيد الاحتيالي لقيادة الأهداف المحتملة إلى موقع ويب زائف ينتحل شخصية مجلس تكنولوجيا المعلومات البنجابية (PITB) في باكستان، وبعد ذلك تتم إعادة توجيههم إلى موقع آخر يحتوي على اختصار إنترنت (URL). ملف.
يأتي ملف URL مضمنًا مع رمز لتنزيل ملف آخر، وهو ملف قابل للتنفيذ يسمى PITB-JR5124.exe، من نفس الخادم. الملف الثنائي هو ملف شرعي يُستخدم للتحميل الجانبي لملف DLL مخادع يُسمى profapi.dll والذي يتصل لاحقًا بعامل Cloudflare.
لاحظت الشركة أن عناوين URL الخاصة بـ Cloudflare Worker تعمل كوسيط، حيث تنقل الطلبات إلى نطاق C2 الفعلي الذي يستخدمه الخصم (“aljazeerak(.)online”).
وقالت Cloudflare إنها “لاحظت جهودًا منسقة من جانب SloppyLemming لاستهداف أقسام الشرطة الباكستانية وغيرها من منظمات إنفاذ القانون”، مضيفة أن “هناك دلائل تشير إلى أن الممثل استهدف الكيانات المشاركة في تشغيل وصيانة منشأة الطاقة النووية الوحيدة في باكستان”.
تشمل بعض الأهداف الأخرى لنشاط حصاد الاعتماد المنظمات الحكومية والعسكرية السريلانكية والبنغلاديشية، وبدرجة أقل، كيانات الطاقة والقطاع الأكاديمي