تمت ملاحظة مجموعة تهديد مرتبطة سابقًا بـ ShadowPad للوصول عن بعد سيئ السمعة Trojan (RAT) باستخدام إصدارات قديمة وعفا عليها الزمن من حزم البرامج الشائعة لتحميل البرامج الضارة على أنظمة تنتمي إلى العديد من المنظمات الحكومية والدفاعية المستهدفة في آسيا.
يرجع سبب استخدام إصدارات قديمة من البرامج الشرعية إلى أنها تسمح للمهاجمين باستخدام طريقة معروفة جيدًا تسمى التحميل الجانبي لمكتبة الارتباط الديناميكي (DLL) لتنفيذ حمولاتهم الضارة على نظام مستهدف. تحمي معظم الإصدارات الحالية من نفس المنتجات من متجه الهجوم ، والذي يتضمن بشكل أساسي قيام الخصوم بإخفاء ملف DLL ضار كملف شرعي ووضعه في دليل حيث يقوم التطبيق تلقائيًا بتحميل الملف وتشغيله.
لاحظ باحثون من فريق Symantec Threat Hunter التابع لشركة Broadcom's Software الظل- مجموعة تهديد ذات صلة تستخدم هذا التكتيك في حملة تجسس إلكتروني. تضمنت أهداف المجموعة حتى الآن مكتب رئيس الوزراء ، والمنظمات الحكومية المرتبطة بالقطاع المالي ، وشركات الدفاع والفضاء المملوكة للحكومة ، وشركات الاتصالات وتكنولوجيا المعلومات والإعلام المملوكة للدولة. أظهر تحليل بائع الأمن أن الحملة مستمرة منذ أوائل عام 2021 على الأقل ، مع التركيز الأساسي على الذكاء.
أسلوب هجوم إلكتروني معروف ولكنه ناجح
"استخدام شرعية لتسهيل تحميل DLL الجانبي وقالت سيمانتيك في تقرير هذا الأسبوع: يبدو أن هناك اتجاهًا متزايدًا بين جهات التجسس العاملة في المنطقة. إنه تكتيك جذاب لأن أدوات مكافحة البرامج الضارة غالبًا لا تكتشف النشاط الضار لأن المهاجمين استخدموا التطبيقات القديمة للتحميل الجانبي.
"بصرف النظر عن عمر التطبيقات ، فإن القاسم المشترك الآخر هو أنها كانت جميعها أسماء معروفة نسبيًا وبالتالي قد تبدو غير ضارة." يقول آلان نيفيل ، محلل استخبارات التهديدات مع فريق صائد التهديدات في سيمانتيك.
وقالت سيمانتك إن حقيقة أن المجموعة التي تقف وراء الحملة الحالية في آسيا تستخدم هذا التكتيك على الرغم من فهمه جيدًا تشير إلى أن هذه التقنية تحقق بعض النجاح.
يقول نيفيل إن شركته لم تلاحظ مؤخرًا أن جهات التهديد تستخدم هذا التكتيك في الولايات المتحدة أو في أي مكان آخر. ويضيف: "يتم استخدام هذه التقنية في الغالب من قبل المهاجمين الذين يركزون على المنظمات الآسيوية".
يقول نيفيل إنه في معظم الهجمات في الحملة الأخيرة ، استخدم المهاجمون أداة PsExec Windows المشروعة لـ تنفيذ البرامج على الأنظمة البعيدة لتنفيذ التحميل الجانبي ونشر البرامج الضارة. في كل حالة ، كان المهاجمون قد سبق لهم اختراق الأنظمة التي قاموا بتثبيت التطبيقات الشرعية القديمة عليها.
"تم تثبيت [البرامج] على كل جهاز كمبيوتر تم اختراقه أراد المهاجمون تشغيل برامج ضارة عليه. يقول نيفيل: "في بعض الحالات ، يمكن أن تكون أجهزة كمبيوتر متعددة على نفس شبكة الضحية". ويضيف أنه في حالات أخرى ، لاحظت Symantec أيضًا قيامهم بنشر العديد من التطبيقات الشرعية على جهاز واحد لتحميل البرامج الضارة الخاصة بهم.
"لقد استخدموا مجموعة كبيرة من البرامج ، بما في ذلك برامج الأمان وبرامج الرسومات ومتصفحات الويب ،" يلاحظ. في بعض الحالات ، لاحظ باحثو Symantec أيضًا أن المهاجم يستخدم ملفات نظام شرعية من نظام التشغيل Windows XP OS القديم لتمكين الهجوم.
Logdatter ، مجموعة الحمولات الضارة
إحدى الحمولات الضارة هي أداة جديدة لسرقة المعلومات يطلق عليها اسم Logdatter ، والتي تسمح للمهاجمين بتسجيل ضغطات المفاتيح ، والتقاط لقطات شاشة ، والاستعلام عن قواعد بيانات SQL ، وإدخال تعليمات برمجية عشوائية ، وتنزيل الملفات ، من بين أشياء أخرى. تشمل الحمولات الأخرى التي يستخدمها ممثل التهديد في حملته الآسيوية ، حصان طروادة المستندة إلى PlugX ، واثنان من RAT يطلق عليهما اسم Trochilus و Quasar ، والعديد من الأدوات المشروعة ذات الاستخدام المزدوج. وتشمل هذه Ladon ، إطار اختبار الاختراق ، FScan ، و NBTscan لمسح بيئات الضحية.
يقول نيفيل إن شركة سيمانتيك لم تتمكن من تحديد كيفية حصول الجهات الفاعلة على التهديد على وصول مبدئي إلى بيئة الهدف. ولكن من المحتمل أن تكون عمليات التصيد الاحتيالي واستهداف الفرص للأنظمة غير المصححة بمثابة نواقل.
"بدلاً من ذلك ، لا يقع هجوم سلسلة توريد البرامج خارج نطاق اختصاص هؤلاء المهاجمين لأن الجهات الفاعلة التي لديها إمكانية الوصول إلى ShadowPad المعروف بشن هجمات على سلسلة التوريد في الماضي "، يلاحظ نيفيل. بمجرد حصول الجهات الفاعلة على التهديد على إمكانية الوصول إلى البيئة ، فإنها تميل إلى استخدام مجموعة من أدوات الفحص مثل NBTScan و TCPing و FastReverseProxy و Fscan للبحث عن أنظمة أخرى لاستهدافها.
للدفاع ضد هذه الأنواع من الهجمات ، تحتاج المؤسسات إلى تنفيذ آليات للتدقيق والتحكم في البرامج التي قد تعمل على شبكتها. يجب عليهم أيضًا التفكير في تنفيذ سياسة للسماح فقط للتطبيقات المدرجة في القائمة البيضاء بالعمل في البيئة وتحديد أولويات تصحيح الثغرات الأمنية في التطبيقات العامة.
"نوصي أيضًا باتخاذ إجراءات فورية لتنظيف الأجهزة التي تظهر أي مؤشرات على الاختراق ،" ينصح نيفيل ، "... بما في ذلك بيانات اعتماد ركوب الدراجات واتباع العملية الداخلية لمؤسستك لإجراء تحقيق شامل."
