مایکروسافت روز دوشنبه یک عامل جاسوسی سایبری مستقر در چین را به مجموعه حملاتی نسبت داد که نهادهای دیپلماتیک در آمریکای جنوبی را هدف قرار داده بودند.
تیم اطلاعات امنیتی غول فناوری در حال ردیابی این APT با نام در حال ظهور DEV-0147 است و این فعالیت را به عنوان "گسترش عملیات استخراج داده های این گروه که به طور سنتی سازمان های دولتی و اتاق های فکر در آسیا و اروپا را هدف قرار می دهد" توصیف می کند.
گفته میشود که عامل تهدید از ابزارهای هکری مانند ShadowPad برای نفوذ به اهداف و حفظ دسترسی مداوم استفاده میکند.
ShadowPad که PoisonPlug نیز نامیده میشود، جانشین تروجان دسترسی از راه دور PlugX است و بهطور گسترده توسط گروههای متخاصم چینی با پیوندهایی به وزارت امنیت دولتی (MSS) و ارتش آزادیبخش خلق (PLA)، در Secureworks مورد استفاده قرار گرفته است.
یکی از ابزارهای مخرب دیگری که توسط DEV-0147 استفاده میشود، بارگیری بسته وب به نام QuasarLoader است که امکان استقرار بارهای اضافی را بر روی میزبانهای در معرض خطر میدهد.
ردموند روشی را که ممکن است DEV-0147 برای دستیابی به دسترسی اولیه به یک محیط هدف استفاده کند، فاش نکرد. گفته میشود، فیشینگ و هدفگیری فرصتطلبانه برنامههای وصلهنشده، بردارهای احتمالی هستند.
مایکروسافت گفت: «حملههای DEV-0147 در آمریکای جنوبی شامل فعالیتهای پس از بهرهبرداری شامل سوء استفاده از زیرساخت هویت داخلی برای بازیابی و جابجایی جانبی، و استفاده از Cobalt Strike برای فرماندهی و کنترل و استخراج دادهها بود».
ShadowPad
DEV-0147 تنها تهدید پایدار پیشرفته (APT) مستقر در چین برای استفاده از ShadowPad در ماههای اخیر نیست.
در سپتامبر 2022، NCC Group جزئیات یک حمله را با هدف یک سازمان ناشناس کشف کرد که از یک نقص مهم در WSO2 (CVE-2022-29464، امتیاز CVSS: 9.8) برای رها کردن پوسته های وب و فعال کردن یک زنجیره عفونت که منجر به تحویل ShadowPad برای جمع آوری اطلاعات.
ShadowPad همچنین توسط عوامل تهدید ناشناس در حمله ای که وزارت خارجه عضو آسه آن را هدف قرار داده است، از طریق بهره برداری موفقیت آمیز از سرور مایکروسافت اکسچنج آسیب پذیر و متصل به اینترنت، به کار گرفته شده است.
این فعالیت که توسط آزمایشگاههای امنیتی الاستیک REF2924 نامیده میشود، برای به اشتراک گذاشتن ارتباطات تاکتیکی با گروههای دولت-ملت دیگر مانند Winnti (معروف به APT41) و ChamelGang مشاهده شده است.
این شرکت خاطرنشان کرد: «مجموعه نفوذ REF2924 [...] یک گروه حمله را نشان میدهد که به نظر میرسد روی اولویتهایی متمرکز است که وقتی در کمپینها مشاهده میشوند، با منافع استراتژیک ملی حمایت شده همسو میشوند».
این واقعیت که گروههای هکر چینی به استفاده از ShadowPad با وجود مستند بودن آن در طول سالها ادامه میدهند، نشان میدهد که این تکنیک تا حدی موفقیت دارد.
تیم اطلاعات امنیتی غول فناوری در حال ردیابی این APT با نام در حال ظهور DEV-0147 است و این فعالیت را به عنوان "گسترش عملیات استخراج داده های این گروه که به طور سنتی سازمان های دولتی و اتاق های فکر در آسیا و اروپا را هدف قرار می دهد" توصیف می کند.
گفته میشود که عامل تهدید از ابزارهای هکری مانند ShadowPad برای نفوذ به اهداف و حفظ دسترسی مداوم استفاده میکند.
ShadowPad که PoisonPlug نیز نامیده میشود، جانشین تروجان دسترسی از راه دور PlugX است و بهطور گسترده توسط گروههای متخاصم چینی با پیوندهایی به وزارت امنیت دولتی (MSS) و ارتش آزادیبخش خلق (PLA)، در Secureworks مورد استفاده قرار گرفته است.
یکی از ابزارهای مخرب دیگری که توسط DEV-0147 استفاده میشود، بارگیری بسته وب به نام QuasarLoader است که امکان استقرار بارهای اضافی را بر روی میزبانهای در معرض خطر میدهد.
ردموند روشی را که ممکن است DEV-0147 برای دستیابی به دسترسی اولیه به یک محیط هدف استفاده کند، فاش نکرد. گفته میشود، فیشینگ و هدفگیری فرصتطلبانه برنامههای وصلهنشده، بردارهای احتمالی هستند.
مایکروسافت گفت: «حملههای DEV-0147 در آمریکای جنوبی شامل فعالیتهای پس از بهرهبرداری شامل سوء استفاده از زیرساخت هویت داخلی برای بازیابی و جابجایی جانبی، و استفاده از Cobalt Strike برای فرماندهی و کنترل و استخراج دادهها بود».
ShadowPad
DEV-0147 تنها تهدید پایدار پیشرفته (APT) مستقر در چین برای استفاده از ShadowPad در ماههای اخیر نیست.
در سپتامبر 2022، NCC Group جزئیات یک حمله را با هدف یک سازمان ناشناس کشف کرد که از یک نقص مهم در WSO2 (CVE-2022-29464، امتیاز CVSS: 9.8) برای رها کردن پوسته های وب و فعال کردن یک زنجیره عفونت که منجر به تحویل ShadowPad برای جمع آوری اطلاعات.
ShadowPad همچنین توسط عوامل تهدید ناشناس در حمله ای که وزارت خارجه عضو آسه آن را هدف قرار داده است، از طریق بهره برداری موفقیت آمیز از سرور مایکروسافت اکسچنج آسیب پذیر و متصل به اینترنت، به کار گرفته شده است.
این فعالیت که توسط آزمایشگاههای امنیتی الاستیک REF2924 نامیده میشود، برای به اشتراک گذاشتن ارتباطات تاکتیکی با گروههای دولت-ملت دیگر مانند Winnti (معروف به APT41) و ChamelGang مشاهده شده است.
این شرکت خاطرنشان کرد: «مجموعه نفوذ REF2924 [...] یک گروه حمله را نشان میدهد که به نظر میرسد روی اولویتهایی متمرکز است که وقتی در کمپینها مشاهده میشوند، با منافع استراتژیک ملی حمایت شده همسو میشوند».
این واقعیت که گروههای هکر چینی به استفاده از ShadowPad با وجود مستند بودن آن در طول سالها ادامه میدهند، نشان میدهد که این تکنیک تا حدی موفقیت دارد.