“باحثون يكشفون برمجيات خبيثة صينية غير معروفة استُخدمت في هجمات حديثة”

متابعات-ميكسي نيوز

باحثون يكشفون برمجيات خبيثة صينية….الباحثون الأمن السيبراني لديهم تم الكشف عنها سلسلة من الهجمات التي قام بها ممثل تهديد من أصل صيني استهدف المنظمات في روسيا وهونغ كونغ مع البرامج الضارة – بما في ذلك الباب الخلفي غير الموثق سابقًا.

إسناد الحملة إلى winnti (أو APT41) ، كانت التقنيات الإيجابية مؤرخة الهجوم الأول حتى 12 مايو 2020 ، عندما استخدمت اختصارات LNK APT لاستخراج وتشغيل حمولة البرامج الضارة. استخدم الهجوم الثاني الذي تم اكتشافه في 30 مايو ملف أرشيف RAR الضار الذي يتكون من اختصارات إلى اثنين من وثائق PAT PDF التي زُعم أنها سيرة ذاتية وشهادة IELTS.

تحتوي الاختصارات نفسها على روابط للصفحات المستضافة على Zeplin ، وهي أداة تعاون شرعية للمصممين والمطورين الذين يتم استخدامهم لجلب البرامج الضارة للمرحلة النهائية التي تتضمن بدورها محمل رمز shellcod الممر (“3T54DE3R.TMP”).

Crosswalk ، الذي تم توثيقه لأول مرة من قبل FireEye في عام 2017 ، هو الباب الخلفي العاري المعياري قادر على تنفيذ استطلاع النظام وتلقي وحدات إضافية من خادم يسيطر عليه المهاجم مثل shellcode.

بينما يشارك هذا الشكل في العمل أوجه التشابه مع مجموعة التهديدات الكورية هيجايسا – التي تم العثور عليها استغلال ملفات LNK مرفق في رسالة بريد إلكتروني لإطلاق هجمات على الضحايا المطمئنين في عام 2020 – قال الباحثون إن استخدام Crosswalk يشير إلى مشاركة Winnti.

ويدعم هذا أيضًا حقيقة أن البنية التحتية للشبكة للعينات تتداخل مع البنية التحتية المعروفة سابقًا ، مع تتبع بعض المجالات مرة أخرى هجمات winnti في صناعة ألعاب الفيديو عبر الإنترنت في عام 2013.

الموجة الجديدة من الهجمات لا تختلف. والجدير بالذكر ، من بين الأهداف تشمل Battlestate Games ، مطور لعبة Unity3D من سانت بطرسبرغ.

علاوة على ذلك ، وجد الباحثون عينات هجومية إضافية في شكل ملفات RAR التي تحتوي على منارة الكوبالت إضراب كحمولة ، حيث يشير المتسللين في حالة واحدة إلى الاحتجاجات الأمريكية المتعلقة بوفاة جورج فلويد العام الماضي كإغراء.

في حالة أخرى ، تم إساءة معاملة الشهادات المعرضة للخطر إلى شركة تايوانية تدعى Zealot Digital لضرب المنظمات في هونغ كونغ مع حقن Crosswalk و Metasploit ، وكذلك Shadowpadو Paranoid Plugx ، و backdoor .NET جديد يسمى funnyswitch.

إن Backdoor ، الذي يبدو أنه لا يزال قيد التطوير ، قادر على جمع معلومات النظام وتشغيل رمز JScript التعسفي. كما أنه يشترك في عدد من الميزات الشائعة مع Crosswalk ، مما دفع الباحثين إلى الاعتقاد بأنهم كتبهم نفس المطورين.

سابقًا، Plugx Plugx تم ربطه بالهجمات على الشركات في صناعة ألعاب الفيديو في عام 2017.

وبالتالي ، فإن نشر البرامج الضارة عبر البنية التحتية لشبكة Winnti يضيف مصداقية إلى “العلاقة” بين المجموعتين.

وخلص الباحثون إلى قوله “يواصل Winnti متابعة مطوري الألعاب والناشرين في روسيا وأماكن أخرى”.

“تميل الاستوديوهات الصغيرة إلى إهمال أمن المعلومات ، مما يجعلها هدفًا مغرًا.

الهجمات على مطوري البرمجيات تشكل خطورة بشكل خاص للمخاطر التي يشكلونها للمستخدمين النهائيين ، كما حدث بالفعل في الحالات المعروفة لـ Ccleaner و Asus.”