“هجمات البرامج الضارة على الرصيف تُنسب إلى مجموعة Grayfly الصينية”
في أواخر شهر أغسطس ، كشفت شركة الأمن السيبراني السلوفاكي ESET عن تفاصيل زرع يسمى Sidewalk ، والذي تم تصميمه لتحميل المكونات الإضافية التعسفية المرسلة من خادم يسيطر عليه المهاجم ، وجمع معلومات حول تشغيل العمليات في الأنظمة المعرضة للخطر ، ونقل النتائج إلى الخادم البعيد.
متابعات-ميكسي نيوز
Grayfly….تم ربط الباب الخلفي غير الموثق سابقًا والذي تم العثور عليه مؤخرًا يستهدف شركة تجزئة للكمبيوتر لم يكشف عن اسمها في الولايات المتحدة بعملية تجسس صينية طويلة الأمد يطلق عليها اسم Grayfly.
في أواخر شهر أغسطس ، كشفت شركة الأمن السيبراني السلوفاكي ESET عن تفاصيل زرع يسمى Sidewalk ، والذي تم تصميمه لتحميل المكونات الإضافية التعسفية المرسلة من خادم يسيطر عليه المهاجم ، وجمع معلومات حول تشغيل العمليات في الأنظمة المعرضة للخطر ، ونقل النتائج إلى الخادم البعيد.
نسبت شركة الأمن السيبراني الاقتحام إلى مجموعة تتبعها على أنها SparklingGoblin ، وهو خصم يعتقد أنه متصل بعائلة البرامج الضارة Winnti (AKA APT41).
لكن أحدث الأبحاث التي نشرها باحثون من Symantec من Broadcom قامت بتثبيت The Sidewalk Backdoor على مجموعة التجسس المرتبطة في الصين ، مشيرًا إلى تداخل البرامج الضارة مع البرامج الضارة عبر الممر الأقدم ، مع أحدث أنشطة القرصنة الرمادية التي تفرز عددًا من المنظمات في المكسيك ، تايوان ، والولايات المتحدة ، وفييتنام.
“من سمات هذه الحملة الأخيرة أن عددًا كبيرًا من الأهداف كان في قطاع الاتصالات.
هاجمت المجموعة أيضًا المنظمات في قطاعات تكنولوجيا المعلومات ، والتمويل ،” قال في الكتابة المنشورة يوم الخميس.
يُعرف أنه نشط على الأقل منذ مارس 2017 ، يعمل Grayfly باعتباره “ذراع التجسس APT41” الذي يشتهر بهدف مجموعة متنوعة من الصناعات في السعي لتحقيق بيانات حساسة من خلال استغلال مواجهة Microsoft Exchange أو MySQL لخوادم Web لتثبيت الإرشاد المبتكر ، قبل الانتشار بشكل متقطع عبر الشبكة وتثبيت أدوار إضافية تُحمل عملية التهديد.
في إحدى الحالات التي لاحظتها Symantec ، بدأ النشاط السيبراني الضار للخصم لاستهداف خادم Microsoft Exchange الذي يمكن الوصول إليه على الإنترنت للحصول على موطئ قدم أولي في الشبكة.
وأعقب ذلك تنفيذ سلسلة من أوامر PowerShell لتثبيت قذيفة ويب مجهولة الهوية ، مما أدى في النهاية إلى نشر الباب الخلفي الرصيف ومتغير مخصص من أداة إلقاء بيانات Mimikatz التي تم استخدامها في هجمات الرمادي السابقة.
لم يلاحظ أي نشاط متابعة بعد هذه النقطة ، كما لاحظت الشركة.
وقال الباحثون: “Grayfly هو ممثل قادر ، من المحتمل أن يواصل خطرًا على المنظمات في آسيا وأوروبا عبر مجموعة متنوعة من الصناعات ، بما في ذلك الاتصالات والتمويل ووسائل الإعلام”.
“من المحتمل أن تستمر هذه المجموعة في تطوير وتحسين أدواتها المخصصة لتعزيز تكتيكات التهرب إلى جانب استخدام أدوات السلع مثل المآثر المتاحة للجمهور وقذائف الويب للمساعدة في هجماتهم.”
