الجواسيس السيبرانيون المرتبطون بالصين يمزجون بين الثغرة المائية وهجمات سلسلة التوريد

أدى هجوم إلكتروني مستهدف مرتبط بمجموعة تهديد صينية إلى إصابة زوار موقع مهرجان البوذية ومستخدمي تطبيق ترجمة اللغة التبتية.

بدأت حملة العمليات السيبرانية التي قام بها ما يسمى بفريق القرصنة Evasive Panda في سبتمبر 2023 أو قبل ذلك وأثرت على الأنظمة في الهند وتايوان وأستراليا والولايات المتحدة وهونج كونج، وفقًا لبحث جديد أجرته شركة ESET.

وكجزء من الحملة، قام المهاجمون باختراق المواقع الإلكترونية لمنظمة مقرها الهند تروج للبوذية التبتية؛ شركة تطوير تنتج ترجمة اللغة التبتية؛ والموقع الإخباري Tibetpost، الذي استضاف بعد ذلك برامج ضارة دون قصد. أصيب زوار المواقع من مناطق جغرافية عالمية محددة ببرامج تسلل وأبواب خلفية، بما في ذلك برنامج MgBot المفضل لدى المجموعة بالإضافة إلى برنامج الباب الخلفي الجديد نسبيًا، Nightdoor.

بشكل عام، نفذت المجموعة مجموعة متنوعة رائعة من نواقل الهجوم في الحملة: هجوم الخصم في الوسط (AitM) عبر تحديث البرنامج، مستغلًا خادم التطوير؛ حفرة سقي ورسائل البريد الإلكتروني التصيدية، كما يقول الباحث في شركة ESET Anh Ho، الذي اكتشف الهجوم.

ويقول: "إن حقيقة قيامهم بتنسيق كل من سلسلة التوريد والهجوم على نقاط المياه في نفس الحملة تظهر الموارد المتوفرة لديهم". "إن Nightdoor معقد للغاية، وهو أمر مهم من الناحية الفنية، ولكن في رأيي، فإن السمة [الأكثر أهمية] لـ Evasive Panda هي تنوع نواقل الهجوم التي تمكنوا من تنفيذها."

Evasive Panda هو فريق صغير نسبيًا يركز عادةً على مراقبة الأفراد والمنظمات في آسيا وإفريقيا. وترتبط المجموعة بهجمات على شركات الاتصالات في عام 2023، مدبلجة عملية الحب الملوث بواسطة SentinelOne، ويرتبط بمجموعة الإسناد Granite Typhoon، ني جاليوم، لكل مايكروسوفت. ومن المعروف أيضا باسم Daggerfly من شركة سيمانتيكويبدو أنها تتداخل مع مجموعة مجرمي الإنترنت والتجسس المعروفة جوجل مانديانت باسم APT41.

ثقوب الري والتسويات في سلسلة التوريد

وتشتهر المجموعة، النشطة منذ عام 2012، بهجمات سلسلة التوريد واستخدام بيانات اعتماد توقيع التعليمات البرمجية المسروقة وتحديثات التطبيقات تصيب الأنظمة من المستخدمين في الصين وأفريقيا في عام 2023.

في هذه الحملة الأخيرة التي أبلغت عنها شركة ESET، قامت المجموعة باختراق موقع ويب لمهرجان مونلام البوذي التبتي لخدمة باب خلفي أو أداة تنزيل، وزرعت حمولات على موقع إخباري تبتي مخترق، وفقًا لـ تحليل ESET المنشور.

واستهدفت المجموعة أيضًا المستخدمين من خلال اختراق أحد مطوري برامج الترجمة التبتية باستخدام تطبيقات طروادة لإصابة أنظمة Windows وMac OS.

يقول هو: "في هذه المرحلة، من المستحيل معرفة المعلومات التي يبحثون عنها بالضبط، ولكن عندما يتم نشر الأبواب الخلفية - Nightdoor أو MgBot -، فإن جهاز الضحية يشبه كتابًا مفتوحًا". "يمكن للمهاجم الوصول إلى أي معلومات يريدها."

استهدفت شركة Evasive Panda أفرادًا داخل الصين لأغراض المراقبة، بما في ذلك الأشخاص الذين يعيشون في البر الرئيسي للصين وهونج كونج وماكاو. كما قامت المجموعة باختراق الوكالات الحكومية في الصين وماكاو ودول جنوب شرق وشرق آسيا.

وفي الهجوم الأخير، كان معهد جورجيا للتكنولوجيا من بين المنظمات التي تعرضت للهجوم في الولايات المتحدة، حسبما ذكرت شركة ESET في تحليلها.

علاقات التجسس السيبراني

قامت شركة Evasive Panda بتطوير إطار عمل البرامج الضارة المخصص لها، MgBot، الذي ينفذ بنية معيارية ولديه القدرة على تنزيل مكونات إضافية وتنفيذ التعليمات البرمجية وسرقة البيانات. ومن بين الميزات الأخرى، يمكن لوحدات MgBot التجسس على الضحايا المخترقين وتنزيل إمكانات إضافية.

في عام 2020، المراوغ الباندا المستخدمين المستهدفين في الهند وهونج كونج باستخدام برنامج تنزيل MgBot لتسليم الحمولات النهائية، وفقًا لما ذكره برنامج Malwarebytes، الذي ربط المجموعة بالهجمات السابقة في عامي 2014 و2018.

Nightdoor، وهو باب خلفي قدمته المجموعة في عام 2020، يتواصل مع خادم الأوامر والتحكم لإصدار الأوامر وتحميل البيانات وإنشاء غلاف عكسي.

تشير مجموعة الأدوات – بما في ذلك MgBot، المستخدمة حصريًا بواسطة Evasive Panda، و Nightdoor – مباشرة إلى مجموعة التجسس الإلكتروني المرتبطة بالصين، حسبما ذكر Ho من ESET في التحليل المنشور للشركة.

وذكر التحليل أن "إسيت تنسب هذه الحملة إلى مجموعة Evasive Panda APT، استنادًا إلى البرامج الضارة التي تم استخدامها: MgBot وNightdoor". "على مدى العامين الماضيين، رأينا كلا البابين الخلفيين منتشرين معًا في هجوم غير ذي صلة ضد منظمة دينية في تايوان، حيث تقاسموا أيضًا نفس خادم القيادة والتحكم".

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/cyberattacks-data-breaches/china-linked-cyber-spies-blend-watering-hole-supply-chain-attacks