كشف هجمات جديدة من APT41 تستهدف أجهزة أندرويد
معروف باستغلالها للتطبيقات التي تواجه الويب وتسلل لأجهزة نقطة النهاية التقليدية ، يوضح ممثل تهديدات راسخ مثل APT 41 بما في ذلك الهاتف المحمول في ترسانة البرامج الضارة كيف أن نقاط النهاية المتنقلة هي أهداف ذات قيمة عالية مع الشركات المرغوبة والشخصية ،" قال في تقرير مشاركته مع أخبار المتسلل.
متابعه_مكسي نيوز
APT41….تم ربط الممثل الوطني للدولة البارزة في الصين المعروفة باسم APT41 بسلاليين غير موثقين سابقًا من برامج Android Spyware تسمى Wyrmspy و Dragonegg.
“معروف باستغلالها للتطبيقات التي تواجه الويب وتسلل لأجهزة نقطة النهاية التقليدية ، يوضح ممثل تهديدات راسخ مثل APT 41 بما في ذلك الهاتف المحمول في ترسانة البرامج الضارة كيف أن نقاط النهاية المتنقلة هي أهداف ذات قيمة عالية مع الشركات المرغوبة والشخصية ،” قال في تقرير مشاركته مع أخبار المتسلل.
من المعروف أن APT41 ، الذي تم تتبعه أيضًا تحت أسماء Axiom و Blackfly و Brass Typhoon (المعروف سابقًا باسم الباريوم) والأطلس البرونزي والغطاء إلى مجموعة واسعة من الصناعات لسرقة الممتلكات الفكرية. .
استفادت الهجمات الحديثة التي شملتها The Sperversarial Collective من أداة فريق حمراء مفتوحة المصدر تعرف باسم Google Command and Control (GC2) كجزء من الهجمات التي تهدف إلى وسائل الإعلام والمنصات الوظيفية في تايوان وإيطاليا.
لا يُعرف ناقل التسلل الأولي لحملة مراقبة الأجهزة المحمولة ، على الرغم من أنه يشتبه في أنه يشارك في استخدام الهندسة الاجتماعية. قالت Lookout إنها اكتشفت لأول مرة Wyrmspy في وقت مبكر من عام 2017 و Dragonegg في بداية عام 2021 ، مع وجود عينات جديدة من الأخيرة التي تم رصدها مؤخرًا في أبريل 2023.
يتنكر Wyrmspy بشكل أساسي كتطبيق نظام افتراضي يستخدم لعرض الإخطارات للمستخدم.
ومع ذلك ، فقد قامت المتغيرات اللاحقة بتعبئة البرامج الضارة في التطبيقات التي تنتحر على أنها محتوى فيديو للبالغين ، و Baidu Waimai ، و Adobe Flash.
من ناحية أخرى ، تم توزيع Dragonegg في شكل لوحات مفاتيح Android من طرف ثالث وتطبيقات المراسلة مثل Telegram.
لا يوجد دليل على أن هذه التطبيقات المارقة قد تم نشرها من خلال متجر Google Play.
بالضبط من أو عدد الضحايا الذين قد يستهدفهم Wyrmspy ولم يتم إنشاء Dragonegg.
تنشأ اتصالات Wyrmspy و Dragonegg إلى APT41 من استخدام القيادة والخادم (C2) مع عنوان IP 121.42.149 (.) 52 ، والذي يحل إلى مجال (“VPN2.UMISEN (.) com”) سابقًا تم تحديده سابقًا “) كما يرتبط بالبنية التحتية للمجموعة.
بمجرد التثبيت ، تطلب كلتا سلالات البرامج الضارة أذونات تدخلية ويتم تزويدها بإمكانيات جمع البيانات المتطورة وإمكانيات الترشيح ، وحصاد صور المستخدمين والمواقع ورسائل الرسائل القصيرة والتسجيلات الصوتية.
كما لوحظ البرامج الضارة بالاعتماد على الوحدات النمطية التي يتم تنزيلها من خادم C2 غير المرتب الآن بعد تثبيت التطبيق لتسهيل جمع البيانات ، مع تجنب الكشف في وقت واحد.
Wyrmspy ، من جانبها ، قادر على تعطيل Linux المحسّنة للأمان (SELINux) ، وهي ميزة أمان في Android ، واستخدام أدوات التجذير مثل KingRoot11 للحصول على امتيازات مرتفعة على الهواتف المستعرضة. تتمثل الميزة البارزة لـ DragOnegg في إنشاء اتصال مع خادم C2 لجلب وحدة ثلاثية غير معروفة تشكل برنامج الطب الشرعي.
وقالت كريستينا بالام ، الباحثة البارزة في التهديدات في Lookout: “إن اكتشاف Wyrmspy و Dragonegg هو تذكير بالتهديد المتزايد الذي تشكله البرامج الضارة Android المتقدمة”. “حزم برامج التجسس هذه متطورة للغاية ويمكن استخدامها لجمع مجموعة واسعة من البيانات من الأجهزة المصابة.”
تأتي النتائج في الوقت الذي كشفت فيه مانديان عن التكتيكات المتطورة التي اعتمدتها أطقم التجسس الصينية للسفر تحت الرادار ، بما في ذلك أجهزة التواصل مع الأسلحة وبرامج المحاكاة الافتراضية ، وتوظيف شبنات رعشة لتصوير حركة المرور بين البنية التحتية C2 وبيئات الضحايا ، وتنفق حركة المرور الخبيثة داخل شبكات الضحايا من خلال المترسبة الأنظمة.
“استخدام الروبوتات ، وحركة المرور في شبكة مخاطرة ، واستهداف أجهزة الحافة ليست تكتيكات جديدة ، كما أنها ليست فريدة من نوعها لممثلي التجسس السيبراني الصيني” قال. “ومع ذلك ، خلال العقد الماضي ، تتبعنا استخدام الجهات الفاعلة في التجسس الصيني لهذه التكتيكات وغيرها كجزء من تطور أوسع نحو عمليات أكثر هدوءًا وتخفيًا وفعالية.”
