تشير حملة قامت بها شركة Earth Preta مؤخرًا إلى أن مجموعات الدول القومية المتحالفة مع الصين تزداد كفاءة في تجاوز الحلول الأمنية.
يتم تعقب ممثل التهديد ، النشط منذ عام 2012 على الأقل ، من قبل مجتمع الأمن السيبراني الأوسع تحت إشراف الرئيس البرونزي ، HoneyMyte ، Mustang Panda ، RedDelta ، و Red Lich.
تبدأ سلاسل الهجوم التي شنتها المجموعة ببريد إلكتروني للتصيد الاحتيالي لنشر مجموعة واسعة من الأدوات للوصول إلى الباب الخلفي ، والقيادة والتحكم (C2) ، واستخراج البيانات.
تأتي هذه الرسائل مع أرشيفات إغراء ضارة موزعة عبر روابط Dropbox أو Google Drive التي تستخدم التحميل الجانبي لـ DLL ، وملفات اختصار LNK ، وامتدادات الملفات المزيفة كمتجهات وصول للحصول على موطئ قدم وإسقاط الأبواب الخلفية مثل TONEINS و TONESHELL و PUBLOAD و MQsTTang ( المعروف أيضا باسم QMAGENT).
وقد لوحظت سلاسل إصابة مماثلة باستخدام روابط Google Drive تقدم Cobalt Strike في وقت مبكر من أبريل 2021.
وقالت تريند مايكرو في تحليل جديد نُشر يوم الخميس: "تميل Earth Preta إلى إخفاء الحمولات الضارة في ملفات مزيفة ، وإخفائها على أنها ملفات شرعية - وهي تقنية أثبتت فعاليتها في تجنب الاكتشاف".
تلقت طريقة نقطة الدخول هذه ، التي تم رصدها لأول مرة في أواخر العام الماضي ، تعديلًا طفيفًا حيث يتم تضمين رابط التنزيل للأرشيف في مستند شرك آخر ويكون الملف محميًا بكلمة مرور في محاولة لتجنب حلول بوابة البريد الإلكتروني.
وقال الباحثون "يمكن بعد ذلك استخراج الملفات من الداخل عبر كلمة المرور الواردة في الوثيقة". "باستخدام هذه التقنية ، يمكن للعامل الضار الذي يقف وراء الهجوم تجاوز خدمات الفحص بنجاح."
يتبع الوصول الأولي إلى بيئة الضحية اكتشاف الحساب ومراحل تصعيد الامتيازات ، مع استفادة Mustang Panda من الأدوات المخصصة مثل ABPASS و CCPASS للتحايل على التحكم في حساب المستخدم ( UAC ) في نظام التشغيل Windows 10.
بالإضافة إلى ذلك ، لوحظ أن ممثل التهديد ينشر برامج ضارة مثل "USB Driver.exe" (HIUPAN أو MISTCLOAK ) و "rzlog4cpp.dll" ( ACNSHELL أو BLUEHAZE ) لتثبيت أنفسهم على الأقراص القابلة للإزالة وإنشاء غلاف عكسي بهدف تتحرك عبر الشبكة.
تشمل الأدوات المساعدة الأخرى التي تم نشرها CLEXEC ، وهو باب خلفي قادر على تنفيذ الأوامر ومسح سجلات الأحداث ؛ COOLCLIENT و TROCLIENT ، غرسات مصممة لتسجيل ضغطات المفاتيح وكذلك قراءة الملفات وحذفها ؛ و PlugX .
وأشار الباحثون إلى أنه "بصرف النظر عن الأدوات المشروعة المعروفة ، قام المهاجمون أيضًا بصياغة أدوات مخصصة للغاية تستخدم للتسلل". يتألف هذا من NUPAKAGE و ZPAKAGE ، وكلاهما مجهزان لجمع ملفات Microsoft Office.
تسلط النتائج مرة أخرى الضوء على الإيقاع التشغيلي المتزايد للجهات الفاعلة في مجال التجسس السيبراني الصيني واستثماراتهم المستمرة في تطوير أسلحتهم الإلكترونية لتجنب الاكتشاف.
وخلص الباحثون إلى أن "Earth Preta هو لاعب تهديد قادر ومنظم يعمل باستمرار على شحذ TTPs ، وتعزيز قدراته التنموية ، وبناء ترسانة متعددة الاستخدامات من الأدوات والبرامج الضارة".