هاكرز مرتبطون بالصين يخترقون شركات الاتصالات باستخدام ثغرات الأجهزة

في تطور مثير، أظهر هاكرز مرتبطون بالصين قدرة متقدمة على استهداف شركات الاتصالات، حيث قاموا بتوسيع عملياتهم لتشمل منظمات في جنوب شرق أوروبا.

الهاكرز UAT-7290 وأسلحتهم

تتبع مجموعة UAT-7290، التي تُظهر مؤشرات قوية على ارتباطها بالصين، عملياتها منذ عام 2022، حيث تركز على شركات الاتصالات في جنوب آسيا. وتعمل هذه المجموعة كفريق للوصول الأولي، حيث تقوم بإنشاء بنية تحتية تُعرف باسم Operational Relay Box (ORB) خلال الهجمات.

تقوم هذه المجموعة بإجراء استقصاءات شاملة قبل الاختراق، وتستخدم مزيجًا من البرمجيات الخبيثة المخصصة والمفتوحة المصدر، بالإضافة إلى استغلال الثغرات المعروفة في أجهزة الشبكات الطرفية.

التقنيات المستخدمة

تستخدم مجموعة UAT-7290 بشكل أساسي مجموعة من البرمجيات الخبيثة المعتمدة على نظام Linux، مع استخدامات عرضية لبرمجيات Windows مثل RedLeaves وShadowPad. وتشمل عائلات البرمجيات الخبيثة المعروفة المرتبطة بهذه المجموعة:

• RushDrop (ChronosRAT) – بداية سلسلة العدوى.
• DriveSwitch – مكون يُستخدم لتنفيذ البرمجيات الخبيثة.
• SilentRaid (MystRodX) – البرمجية الرئيسية المستمرة.
• Bulbature – برمجية تستخدم لتحويل الأجهزة المخترقة إلى ORBs.

يقدم تقرير Cisco Talos تفاصيل تقنية حول البرمجيات الخبيثة المستخدمة من قبل UAT-7290، بالإضافة إلى قائمة بمؤشرات الاختراق لمساعدة المنظمات في الدفاع ضد هذا التهديد.