استهدفت الجهات الفاعلة المرتبطة بعمليات التجسس الإلكتروني APT41 المدعومة من الصين مؤخرًا مزودًا لخدمات تكنولوجيا المعلومات الحكومية في أفريقيا باستخدام أدوات لسرقة المعلومات وجمع بيانات الاعتماد. تشير هذه الخطوة إلى توسع غير معتاد لهذه التهديدات المستمرة المدعومة من الدولة، والتي عادةً ما تستهدف أهدافًا تتماشى مع مصالح بكين، مثل المنظمات التايوانية أو الشركات الأمريكية.

أحد الجوانب الملحوظة للهجوم كان استخدام المهاجمين لبرمجيات خبيثة تحتوي على تفاصيل محددة مثل أسماء وعناوين IP للخدمات الداخلية، بالإضافة إلى خدمات البروكسي المدمجة في الشيفرة، مما يشير إلى مستوى عالٍ من المعرفة بالبنية التحتية للضحية. في الواقع، كان أحد خوادم القيادة والتحكم (C2) التي استخدمها المهاجمون هو خادم SharePoint الذي كان جزءًا من شبكة الضحية، مما جعل الهجوم أكثر صعوبة في الكشف عنه.

هدف غير معتاد لمجموعة APT مألوفة

اكتشف الباحثون في كاسبرسكي هذه التفاصيل أثناء تحقيقهم في نشاط مشبوه على عدة محطات عمل تابعة لمنظمة عميلة في أفريقيا. في تقرير حول الحادث هذا الأسبوع، لم تحدد كاسبرسكي الضحية أو البلد الذي تتواجد فيه المنظمة. لكن التقرير أشار إلى أنه حتى هذه النقطة، كانت أنشطة APT41 في أفريقيا محدودة على أفضل تقدير.

ذات صلة: مجموعة APT الروسية "Fancy Bear" تتعزز في سرقة الأسرار العالمية

"هذه مجموعة تجسس إلكتروني تتحدث الصينية ومعروفة باستهداف المنظمات عبر قطاعات متعددة، بما في ذلك مقدمي خدمات الاتصالات والطاقة، والمؤسسات التعليمية، ومنظمات الرعاية الصحية، وشركات تكنولوجيا المعلومات في 42 دولة على الأقل،" كتب باحثو كاسبرسكي دينيس كوليك ودانييل بوجوريلوف. "من الجدير بالذكر أنه قبل الحادث، كانت أفريقيا قد شهدت أقل نشاط من هذه المجموعة."

تُعرف APT41، التي تتبعها شركات أخرى بأسماء مختلفة مثل Wicked Panda، Barium، Brass Typhoon، وWinnti، بأنها واحدة من أكثر مجموعات التهديد المرتبطة بالصين نشاطًا حاليًا. المجموعة - في الواقع، هي مجموعة من المجموعات الفرعية - نشطة منذ عام 2012 على الأقل، وتشتهر بإجراء التجسس لصالح بكين بينما تسعى أيضًا إلى ارتكاب الجرائم الإلكترونية من أجل الربح المالي. في عام 2020، ربطت الحكومة الأمريكية نشاط APT41 بوزارة الأمن القومي الصينية (MSS) واتهمت خمسة من أعضائها المزعومين بارتكاب سلسلة من عمليات الاختراق على مدى سنوات، بما في ذلك هجمات الفدية وسرقة العملات الرقمية على أكثر من 100 منظمة في الولايات المتحدة وغيرها.

الهجوم الذي لاحظته كاسبرسكي والذي استهدف المنظمة في أفريقيا تضمن تكتيكات وتقنيات وإجراءات APT41 المعتادة. وشمل ذلك المزيج المعتاد من البرمجيات الخبيثة المخصصة، وجمع بيانات الاعتماد، والاستخدام الاستراتيجي للبنية التحتية المشروعة المخترقة للحفاظ على الاستمرارية وتجنب الكشف.

مزيج من الأدوات

في المرحلة الأولية من الهجوم، استخدم المهاجمون أداة Impacket، وهي أداة يستخدمها مختبرو الاختراق غالبًا لأغراض مشروعة، مثل جمع معلومات النظام. لاحظت كاسبرسكي أن ممثلي APT41 استخدموا وحدة WmiExec الخاصة بـ Impacket لجمع معلومات النظام عن بُعد والحفاظ على الاستمرارية على محطات العمل المخترقة. كما استخدموا وحدة Atexec الخاصة بـ Impacket للتحقق مما إذا كانت الشبكة المخترقة تحتوي على خادم C2 الخاص بهم مثبتًا عليها.

بمجرد أن أسس المهاجمون الاستمرارية على نظام ما، نشروا أدوات Cobalt Strike بعد الاختراق عليه، ثم شرعوا في بدء سلسلة من الإجراءات لاستخراج المعلومات وبيانات الاعتماد من النظام. تضمنت الأدوات التي نشرها المهاجمون Mimikatz لجمع بيانات الاعتماد، وPillager لجمع البيانات الحساسة، وRawCopy لنسخ الملفات من الأنظمة دون تفعيل أي تنبيهات أمنية، وNeo-reGeorg كواجهة ويب للحفاظ على الوصول عن بُعد إلى الشبكة من خلال خادم ويب مخترق.

"يمتلك المهاجمون مجموعة واسعة من الأدوات، سواء كانت مخصصة أو متاحة للجمهور،" كتب كوليك وبوجوريلوف. "المهاجمون سريعون في التكيف مع بنية هدفهم، ويقومون بتحديث أدواتهم الخبيثة لتناسب الخصائص المحددة."

ذات صلة: الشركات اليابانية تعاني من آثار طويلة الأمد لأضرار الفدية

سلط الباحثون الضوء على إساءة استخدام APT41 للخدمات الداخلية في التواصل مع خوادم C2 وسرقة البيانات، وحذروا من قدرة APT41 على تعديل تقنياته في منتصف الهجوم لإرباك المدافعين المحتملين. كان أحد أمثلة هذه التكتيكات هو إعادة كتابة الملفات التنفيذية وتجميعها كمكتبات ربط ديناميكية (DLLs) لاستخدامها في التحميل الجانبي لـ DLL، كما قال الباحثان. تسلط الهجمات مثل هذه الضوء على الحاجة إلى أن تراقب المنظمات بنيتها التحتية باستمرار وأن تكون لديها القدرة على حظر الأنشطة الخبيثة تلقائيًا خلال المراحل الأولية، أضافوا.

تأتي هجمات APT41 في ظل زيادة عامة في الجرائم الإلكترونية في أفريقيا. وجدت دراسة حديثة أجرتها الإنتربول أن عمليات الاحتيال عبر الإنترنت التي تستهدف المستهلكين في المنطقة قد ارتفعت بمقدار 30 ضعفًا في الآونة الأخيرة، حتى مع بدء انفجار الجرائم الإلكترونية المنظمة في عدة دول أفريقية، بما في ذلك غانا والسنغال ونيجيريا. وقد عزا المحللون الزيادة إلى التقدم التكنولوجي المتزايد والاتصال بالإنترنت في المنطقة بشكل عام.

مقالات ذات صلة

الأمن السيبراني

تحذير: ثغرة Dell خطيرة يستغلها قراصنة صينيون

منذ يوم 0

الأمن السيبراني

فخ 'اكتمل النسخ': لماذا قرصك مليء بالملفات التالفة؟

منذ يوم 0

الأمن السيبراني

تحذير: ثغرات خطيرة في إضافات VSCode تهدد 128 مليون مطور

منذ يوم 0

الأمن السيبراني

إسبانيا تأمر NordVPN وProtonVPN بحجب مواقع قرصنة LaLiga

منذ يوم 0

الأمن السيبراني

حكم تاريخي: إسبانيا تأمر NordVPN بحجب مواقع القرصنة

منذ يوم 0

الأمن السيبراني

تحذير عاجل: مهلة 3 أيام لإغلاق ثغرة BeyondTrust الخطيرة

منذ 3 أيام 0

يُعد GISEC GLOBAL أكبر وأهم تجمع للأمن السيبراني في منطقة الشرق الأوسط وأفريقيا، حيث يجمع بين كبار المسؤولين الأمنيين في الشركات (CISOs) وقادة الحكومات ومشتري التكنولوجيا والهاكرز الأخلاقيين، وذلك على مدار ثلاثة أيام مليئة بالابتكار والاستراتيجيات والتدريبات الحية في مجال الأمن السيبراني.

📌 احجز مساحتك الآن!