تمكنت مجموعة تجسس صينية لم يتم تحديدها من قبل من اختراق ما لا يقل عن 70 منظمة في 23 دولة، بما في ذلك 48 في المجال الحكومي، على الرغم من استخدام تكتيكات وتقنيات وإجراءات قياسية.
لا يبدو أن "Earth Krahang" تمثل تهديدًا مستمرًا عسكريًا رفيع المستوى. في تقرير جديد، اقترح باحثون من تريند مايكرو أنه قد يكون أحد أجنحة iSoon، عملية اختراق خاصة للتأجير تم التعاقد عليه من قبل الحزب الشيوعي الصيني (CCP). ومن خلال التكيف مع مثل هذه العمليات المتعلقة بالجرائم الإلكترونية، بدلاً من استخدام برامج ضارة وتكتيكات خفية فائقة التطور، فإنها تستخدم ترسانة من الأدوات مفتوحة المصدر إلى حد كبير والأدوات الموثقة جيدًا، بالإضافة إلى نقاط الضعف ليوم واحد والهندسة الاجتماعية القياسية، لهزيمة أهدافها.
وعلى الرغم من ذلك، فإن قائمة ضحاياه تنافس قائمة أمثاله فولت تايفون, بلاك تكو موستانج باندا.
وبعد أن استهدفت ما لا يقل عن 116 منظمة في 35 دولة، فإن المجموعة لديها ما لا يقل عن 70 اختراقًا مؤكدًا، بما في ذلك أربعين مرتبطة بحكومات عالمية مختلفة. وفي إحدى الحالات، تمكنت من اختراق مجموعة واسعة من المنظمات المرتبطة بـ 11 وزارة حكومية. وشمل الضحايا أيضًا قطاعات التعليم والاتصالات والتمويل وتكنولوجيا المعلومات والرياضة والمزيد. ويأتي أعلى تركيز للضحايا من آسيا، ولكن الحالات تغطي الأمريكتين (المكسيك والبرازيل وباراغواي)، وأوروبا (بريطانيا والمجر)، وأفريقيا (مصر وجنوب أفريقيا) أيضا.
يقول كالي غونتر، المدير الأول لأبحاث التهديدات السيبرانية في Critical Start: "إن استخدام الأدوات مفتوحة المصدر لاختراق الكيانات الحكومية أمر ملحوظ، ولكنه ليس مفاجئًا تمامًا". "غالبًا ما تمتلك الحكومات بنى تحتية واسعة ومعقدة لتكنولوجيا المعلومات، مما قد يؤدي إلى تناقضات في الممارسات الأمنية ويجعل من الصعب الدفاع ضد جميع أنواع الهجمات، بما في ذلك تلك التي تستخدم أدوات أساسية مفتوحة المصدر."
تكتيكات اقتحام الأرض Krahang
تتميز بعض تقنيات APTs الصينية الناجحة بـ أيام صفر فريدة من نوعها or التكتيكات المعقدة التي يسحبونها أفضل من أي شخص آخر.
تعتبر Earth Krahang بمثابة رافعة لجميع المهن.
وتتمثل خطوتها الأولى في فحص الويب بحثًا عن الخوادم ذات الاهتمام العام، مثل تلك المتصلة بالمؤسسات الحكومية. للتحقق من نقاط الضعف التي يمكن الاستفادة منها، فإنه يستخدم واحدة من أي عدد من الأدوات مفتوحة المصدر والجاهزة للاستخدام، بما في ذلك sqlmap وnuclei وxray وvscan وpocsuite وwordpresscan. هناك خطأان على وجه الخصوص تحب Earth Krahang افتراسهما هما CVE-2023-32315 - وهو خطأ في تنفيذ الأمر في خادم التعاون في الوقت الفعلي Openfire بتقييم 7.5 بواسطة CVSS - وCVE-2022-21587 - وهو خطأ تنفيذ أمر بالغ الأهمية بتقييم 9.8 باستخدام Web Applications Desktop Integrator في مجموعة الأعمال الإلكترونية من Oracle.
بعد أن تؤسس المجموعة موطئ قدم على خادم عام، تستخدم المجموعة المزيد من البرامج مفتوحة المصدر للبحث عن الملفات الحساسة وكلمات المرور (خاصة البريد الإلكتروني) وغيرها من الموارد المفيدة، مثل النطاقات الفرعية الوحيدة التي قد تشير إلى المزيد من الخوادم غير الخاضعة للصيانة. كما أنها تستخدم عددًا من هجمات القوة الغاشمة، على سبيل المثال، استخدام قائمة كلمات المرور الشائعة لاختراق خوادم Microsoft Exchange عبر Outlook على الويب.
يقول جون كلاي، نائب رئيس قسم استقصاء التهديدات في تريند مايكرو: "على الرغم من أنه قد يبدو من السهل اكتشاف المصادر المفتوحة، إلا أن الواقع هو أن هناك العديد من هجمات TTP هنا التي يجب العثور عليها واكتشافها. كما يمكن استخدام أساليب التهرب الدفاعي من قبل هذا الخصم لضمان عدم قدرة الضحايا على الدفاع.
استغلال Earth Krahang وتكتيكات التخفي
وبنهاية كل هذا (وأكثر من ذلك بكثير)، يمكن للمهاجم تنفيذ إجراءين أساسيين: إسقاط الأبواب الخلفية على الخوادم المخترقة، واختطاف حسابات البريد الإلكتروني.
هذا الأخير له استخدام خاص. يوضح كلاي قائلاً: "إن استخدام الأنظمة الشرعية وحسابات البريد الإلكتروني لدعم هجومهم أمر مثير للاهتمام هنا بشكل خاص، لأن هذا الخصم يستخدم حسابات شرعية لخداع الضحية وجعلها آمنة". من خلال قائمة جهات الاتصال عالية القيمة والشرعية المكتسبة باستخدام حساب حسن النية، ترسل المجموعة رسائل بريد إلكتروني تحتوي على سطور موضوعات تناسب الفاتورة - مثل "تعميم وزارة الدفاع الماليزية" - عناوين URL أو مرفقات وأسماء ملفات ضارة نفس الشيء - على سبيل المثال "حول زيارة وزير خارجية باراغواي إلى Turkmenistan.exe".
سواء عبر البريد الإلكتروني أو ثغرة أمنية في خادم الويب، ينتهي الأمر بأهداف Earth Krahang المختلفة إلى تنزيل باب خلفي واحد أو عدة أبواب خلفية.
في هجماتها الأولى، حوالي عام 2022، استخدمت المجموعة "RESHELL"، وهي أداة .NET بسيطة إلى حد ما مصممة خصيصًا لجمع المعلومات وإسقاط الملفات وتنفيذ أوامر النظام، من خلال اتصال الأوامر والتحكم (C2) المشفر باستخدام AES.
وفي عام 2023، انتقلت المجموعة إلى "XDealer"، الذي يتمتع بقدرات إضافية بما في ذلك تسجيل لوحة المفاتيح، ولقطات الشاشة، والسرقة من الحافظة. إلى جانب كونه متوافقًا مع كل من نظامي التشغيل Windows وLinux، يتميز XDealer أيضًا بالشهرة لأن بعض أدوات التحميل الخاصة به تحتوي على شهادات صالحة لتوقيع التعليمات البرمجية. وتتوقع شركة Trend Micro أن هاتين الشهادتين – إحداهما مملوكة لشركة موارد بشرية شرعية، والأخرى تابعة لشركة تطوير ألعاب – من المحتمل أن تكونا قد سُرقتا لتوفير طبقة إضافية من الحماية عند تنزيل البرامج الضارة إلى أنظمة جديدة.
وقد استفادت Earth Krahang أيضًا من التهديدات القديمة مثل PlugX و الظلوكثيرًا ما تنشر Cobalt Strike مع أداة أخرى مفتوحة المصدر (RedGuard) تمنع محللي الأمن السيبراني من تحديد البنية التحتية C2 الخاصة بها.
ونظرًا لأن جهة التهديد تطلق النار بشكل مباشر نسبيًا، يقترح غونتر أنه "يوصى بأفضل الممارسات القياسية للحماية من هذه التهديدات. يجب على المؤسسات تعزيز أمان بريدها الإلكتروني للدفاع ضد التصيد الاحتيالي، وتحديث أنظمتها وتصحيحها بانتظام للحماية من نقاط الضعف المعروفة، واستخدام تجزئة الشبكة للحد من انتشار المهاجم داخل شبكاتها. يمكن أن تساعد مراقبة حركة مرور الشبكة غير الطبيعية وأنماط الوصول غير العادية أيضًا في الكشف المبكر عن مثل هذه الحملات.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/threat-intelligence/chinese-apt-earth-krahang-compromised-48-gov-orgs-5-continents
