كشف باحثون أمنيون عن حملة سيبرانية معقدة تستهدف شبكات الاتصالات وقطاعات التصنيع في وسط وجنوب آسيا ودول رابطة جنوب شرق آسيا (آسيان)، مستخدمةً نسخًا معدّلة من برمجيات خبيثة معروفة مثل PlugX وBookworm، مع دلائل على تداخل أدوات وأساليب بين مجموعات مرتبطة بالصين.
أفاد فريق "Cisco Talos" أن النسخة الجديدة من PlugX تشترك في سمات تقنية مع خلفيات خبيثة أخرى مثل RainyDay وTurian، بما في ذلك سوء استخدام تطبيقات شرعية للتحميل الجانبي لملفات DLL، وخوارزمية تشفير XOR-RC4-RtlDecompressBuffer، وإعادة استخدام مفاتيح RC4.
وقال الباحثان جوي تشين وتاكاهيرو تاكيدا إن تكوين PlugX الحالي يختلف عن التكوين التقليدي، ويشبه بنية RainyDay المرتبطة بجماعة تُعرف باسم Lotus Panda / Naikon APT، بحسب تقرير نشره موقع "thehackernews" واطلعت عليه "العربية Business".
دلائل على تداخل مجموعات التهديد
رصد الباحثون أوجه تشابه مهمة بين عمليات Lotus Panda ومجموعة أخرى مرتبطة بالصين تُعرف باسم BackdoorDiplomacy (أو CloudComputating/Faking Dragon)، بما في ذلك اختيار الأهداف، وخاصة شركات الاتصالات، وأساليب التشفير وإعادة استخدام المفاتيح، ما يطرح احتمالَين: إما أن المجموعتين هما كيان واحد أو أنهما تزوِّدان بواسطة مورد أدوات مشترك.
في حادثة موثقة، استهدفت نايكون شركة اتصالات في كازاخستان، ما يدعم فرضية التشابك في نطاق العمليات الجغرافية والأساليب التقنية.
تعتمد سلاسل الهجوم على إساءة استخدام ملفات تنفيذية شرعية (مثل Mobile Popup) لتحميل DLL ضار يقوم بفك تشفير وتشغيل حمولات PlugX وRainyDay وTurian في الذاكرة.
كما تضمنت النسخ الأخيرة ميزات متقدمة مثل تسجيل ضغطات المفاتيح، ما يزيد من قدرة المهاجمين على التجسس وسرقة بيانات حساسة.
Bookworm: حصان طروادة متطور يعود إلى 2015
من جهتها، سلطت الوحدة 42 في Palo Alto Networks الضوء على برنامج Bookworm، باب خلفي (RAT) متطور استخدمته مجموعة Mustang Panda منذ 2015.
يتميز Bookworm ببُنية معيارية تسمح بتحميل وحدات إضافية من خوادم القيادة والتحكم (C2)، ويمكنه تنفيذ أوامر عشوائية، تحميل وتنزيل ملفات، استخراج بيانات، وإنشاء وصول مستمر.
النسخ الأحدث من Bookworm تستخدم تقنيات تنفيذ مبتكرة، مثل تجميع shellcode كسلاسل UUID مفكوكة لاحقًا، مما يزيد من صعوبة التحليل واكتشافها، وتستغل نطاقات وبنى تحتية تبدو شرعية للاتصال بخوادم C2.
آثار وتوصيات
توضح التحليلات أن سلاسل التوريد والخدمات السحابية والتكامل مع أدوات الطرف الثالث تُشكّل نقاط دخول خطيرة، كما ظهر في حوادث سابقة استهدفت منصات دردشة روبوتية وخدمات مطورين.
الاعتماد على تقنيات التحميل الجانبي لملفات DLL وسوء إدارة مفاتيح التشفير يزيدان من فاعلية هذه الهجمات ويعقّدان جهود الاستجابة.
تدعو فرق الأمن إلى تعزيز مراقبة سلوك التطبيقات الشرعية، مراقبة تحميلات DLL غير المألوفة، إدارة مفاتيح التشفير بشكل صارم، وفحص الاتصالات الخارجية لنطاقات C2 المشبوهة.
تكشف الحملة الأخيرة عن تطور ملحوظ في أدوات وإستراتيجيات مجموعات تهديد مرتبطة بجهات ناطقة بالصينية، مع توظيف بنى خبيثة قديمة في تكوينات جديدة وأكثر إخفاءً.
التداخل بين PlugX وRainyDay وTurian وBookworm يبيّن أن المشهد التهديدي في المنطقة أصبح أكثر ترابطًا وتعقيدًا، ما يستدعي يقظة أكبر من شركات الاتصالات والمصنعين وفرق الأمن حول سلسلة التوريد الرقمية.
