مجموعات قرصنة صينية تشن حملات مكثفة لاستهداف البنية التحتية في دول الآسيان

تمت ملاحظة مجموعتين للتهديدات المتقدمة المستمرة (APT) مرتبطتين بالصين تستهدفان كيانات ودول أعضاء تابعة لرابطة دول جنوب شرق آسيا (ASEAN) كجزء من حملة تجسس إلكتروني على مدى الأشهر الثلاثة الماضية.

ويشمل ذلك جهة التهديد المعروفة باسم Mustang Panda، والتي تم ربطها مؤخرًا الهجمات السيبرانية ضد ميانمار بالإضافة إلى دول آسيوية أخرى لديها نوع مختلف من الباب الخلفي PlugX (المعروف أيضًا باسم Korplug) والذي يطلق عليه اسم DOPLUGS.

ويُعتقد أن Mustang Panda، والتي تسمى أيضًا Camaro Dragon وEarth Preta وStately Taurus، استهدفت كيانات في ميانمار والفلبين واليابان وسنغافورة، حيث استهدفتها برسائل بريد إلكتروني تصيدية مصممة لتقديم حزمتين من البرامج الضارة.

“أنشأت الجهات الفاعلة في مجال التهديد برامج ضارة لهذه الحزم في الفترة من 4 إلى 5 مارس 2024، بالتزامن مع القمة الخاصة بين رابطة دول جنوب شرق آسيا وأستراليا (من 4 إلى 6 مارس 2024)،” وحدة Palo Alto Networks 42 قال في تقرير تمت مشاركته مع The Hacker News.

إحدى حزم البرامج الضارة عبارة عن ملف ZIP يحتوي بداخله على ملف قابل للتنفيذ (“Talking_Points_for_China.exe”)، والذي عند تشغيله، يقوم بتحميل ملف DLL (“KeyScramblerIE.dll”) وينشر في النهاية برنامجًا ضارًا معروفًا من Mustang Panda يسمى PUBLOAD، تم استخدام برنامج التنزيل سابقًا لإسقاط PlugX.

تجدر الإشارة هنا إلى أن الملف الثنائي عبارة عن نسخة أعيدت تسميتها من برنامج شرعي يسمى KeyScrambler.exe وهو عرضة للتحميل الجانبي لـ DLL.

أما الحزمة الثانية، من ناحية أخرى، فهي عبارة عن شاشة توقف قابلة للتنفيذ (“Note PSO.scr”) تُستخدم لاسترداد التعليمات البرمجية الضارة للمرحلة التالية من عنوان IP بعيد، بما في ذلك برنامج حميد موقع من شركة ألعاب فيديو أعيدت تسميتها باسم WindowsUpdate. exe وDLL المارقة التي تم إطلاقها باستخدام نفس التقنية كما كان من قبل.

وقال الباحثون: “تحاول هذه البرامج الضارة بعد ذلك إنشاء اتصال بـ www(.)openservername(.)com على 146.70.149(.)36 للتحكم والتحكم (C2)”.

وقالت الوحدة 42 إنها اكتشفت أيضًا حركة مرور الشبكة بين كيان تابع لرابطة دول جنوب شرق آسيا (ASEAN) والبنية التحتية C2 لمجموعة APT صينية ثانية، مما يشير إلى حدوث اختراق لبيئة الضحية. تُعزى مجموعة أنشطة التهديد غير المسماة هذه إلى هجمات مماثلة استهدفت كمبوديا.

وقال الباحثون: “تستمر هذه الأنواع من الحملات في إظهار كيفية استهداف المنظمات لأغراض التجسس الإلكتروني، حيث تقوم مجموعات التهديد التابعة للدولة القومية بجمع معلومات استخباراتية عن المصالح الجيوسياسية داخل المنطقة”.

تظهر الأرض Krahang في البرية

تصل هذه النتائج بعد أسبوع من تسليط تريند مايكرو الضوء على جهة تهديد صينية جديدة تُعرف باسم Earth Krahang والتي استهدفت 116 كيانًا منتشرة في 35 دولة من خلال الاستفادة من التصيد الاحتيالي والعيوب في خوادم Openfire وOracle العامة لتقديم برامج ضارة مخصصة مثل PlugX. و ShadowPad و ReShell و DinodasRAT (المعروف أيضًا باسم XDealer).

تعود الهجمات الأولى إلى أوائل عام 2022، حيث استفاد الخصم من مجموعة من الأساليب للبحث عن البيانات الحساسة.

تُظهر Earth Krahang، التي تركز بشدة على جنوب شرق آسيا، أيضًا مستوى من التداخل مع جهة فاعلة تهديدية أخرى مرتبطة بالصين والتي تم تتبعها على أنها الأرض لوسكا (ويعرف أيضًا باسم فندق ريد). من المحتمل أن تتم إدارة مجموعتي التطفل من قبل نفس جهة التهديد ومتصلة بمقاول حكومي صيني يُدعى I-Soon.

“تتضمن إحدى التكتيكات المفضلة لممثل التهديد استخدام وصوله الضار إلى البنية التحتية الحكومية لمهاجمة كيانات حكومية أخرى، وإساءة استخدام البنية التحتية لاستضافة حمولات ضارة، وحركة مرور هجمات الوكيل، وإرسال رسائل بريد إلكتروني للتصيد الاحتيالي إلى أهداف ذات صلة بالحكومة باستخدام حسابات بريد إلكتروني حكومية مخترقة “الشركة قال.

“تستخدم Earth Krahang أيضًا تكتيكات أخرى، مثل بناء خوادم VPN على خوادم عامة مخترقة لتأسيس الوصول إلى الشبكة الخاصة للضحايا وتنفيذ هجمات القوة الغاشمة للحصول على بيانات اعتماد البريد الإلكتروني. ثم يتم استخدام بيانات الاعتماد هذه لتسلل رسائل البريد الإلكتروني للضحايا.”

تسريبات I-Soon ومشهد القرصنة مقابل الاستئجار الغامض

الشهر الماضي مجموعة من وثائق مسربة من I-Soon (المعروف أيضًا باسم Anxun) على GitHub مكشوف كيف تبيع الشركة أ مجموعة واسعة من أدوات السرقة وأحصنة طروادة التي يمكن الوصول إليها عن بعد مثل ShadowPad وWinnti (المعروف أيضًا باسم TreadStone) للعديد من الكيانات الحكومية الصينية. يشمل هذا أيضًا منصة عمليات متكاملة مصممة لتنفيذ حملات إلكترونية هجومية وزرع Linux غير موثق يحمل الاسم الرمزي Hector.

“تشمل منصة العمليات المتكاملة كلا من التطبيقات والشبكات الداخلية والخارجية،” قال الأسقف فوكس قال. “التطبيق الداخلي مخصص بشكل أساسي لإدارة المهام والموارد. أما التطبيق الخارجي فهو مصمم لتنفيذ العمليات السيبرانية.”

لقد كان أيضًا كيان الاختراق مقابل الاستئجار الغامض متورط في حملة POISON CARP لعام 2019 التي استهدفت الجماعات التبتية واختراق Comm100 عام 2022، بالإضافة إلى الهجمات التي تستهدف الحكومات الأجنبية والأقليات العرقية المحلية للحصول على معلومات قيمة، والتي يتم تنفيذ بعضها بشكل مستقل من تلقاء نفسها على أمل هبوط عميل الحكومة.

“لقد قدم تسرب البيانات نظرة نادرة حول كيفية قيام الحكومة الصينية بالاستعانة بمصادر خارجية لأجزاء من عملياتها السيبرانية لشركات خارجية خاصة، وكيف تعمل هذه الشركات مع بعضها البعض لتلبية هذه المطالب،” ReliaQuest ذُكر.

شركة الأمن السيبراني المسجلة المستقبل، في التحليل الخاصوقال إن التسريب يكشف “العلاقات التشغيلية والتنظيمية” بين الشركة وثلاث مجموعات إلكترونية مختلفة ترعاها الدولة الصينية، وهي RedAlpha (المعروفة أيضًا باسم Deepcliff)، وRedHotel، وPOISON CARP.

“إنه يقدم أدلة داعمة فيما يتعلق بالوجود المشتبه به منذ فترة طويلة لـ “مسؤولي التموين الرقميين” الذين يوفرون القدرات للعديد من المجموعات الصينية التي ترعاها الدولة.”

وقالت أيضًا إن التداخلات تشير إلى وجود فرق فرعية متعددة تركز على مهام معينة داخل نفس الشركة. وتمتد بصمة ضحايا I-Soon إلى 22 دولة على الأقل، حيث تمثل الحكومة والاتصالات والتعليم القطاعات الأكثر استهدافًا.

علاوة على ذلك، تؤكد الوثائق المنشورة أن كأس تيانفو ــ النسخة الصينية من مسابقة القرصنة Pwn2Own ــ تعمل بمثابة “نظام تغذية لنقاط الضعف” بالنسبة للحكومة، مما يسمح لها بتخزين برمجيات استغلال الثغرات في يوم الصفر وتصميم أكواد الاستغلال.

“عندما لا تكون العروض المقدمة في كأس تيانفو عبارة عن سلاسل استغلال كاملة بالفعل، تقوم وزارة الأمن العام بنشر إثبات نقاط الضعف في المفهوم إلى الشركات الخاصة لمواصلة استغلال إمكانات إثبات المفهوم هذه،” Margin Research قال.

“إن شرط الكشف عن نقاط الضعف في الصين هو جزء من لغز كيفية قيام الصين بتخزين نقاط الضعف واستخدامها كسلاح، مما يضع حجر الأساس للمجموعة السرية التي قدمتها كأس تيانفو في السنوات السابقة.”

مصدر التسريب غير معروف حاليًا، على الرغم من وجود اثنين من موظفي I-Soon قال وذكرت وكالة أسوشيتد برس أن التحقيق جار بالتعاون مع سلطات إنفاذ القانون. الشركة موقع إلكتروني منذ ذلك الحين أصبح غير متصل بالإنترنت.

“يوفر التسريب بعضًا من أكثر التفاصيل الملموسة التي تم رؤيتها علنًا حتى الآن، مما يكشف عن الطبيعة الناضجة لنظام التجسس الإلكتروني في الصين،” داكوتا كاري من SentinelOne وألكسندر ميلينكوسكي قال. “إنه يوضح بوضوح كيف أن متطلبات الاستهداف الحكومية تقود سوقًا تنافسية من المتسللين المستقلين المستأجرين.”