فانتوم ثور: مجموعة هاكرز مرتبطة بالصين تستهدف الحكومات

مجموعة فانتوم ثور: مجموعة هاكرز مرتبطة بالصين تستهدف الحكومات ببرمجيات خبيثة خفية

استهدفت منظمات حكومية واتصالات في إفريقيا والشرق الأوسط وآسيا مجموعة هاكرز غير موثقة سابقًا مرتبطة بالصين تُعرف باسم فانتوم ثور على مدار العامين والنصف الماضيين.

أهداف المجموعة وطرق عملها

قال الباحث في Palo Alto Networks Unit 42، ليور روشبرجر: “تركز مجموعة فانتوم ثور بشكل رئيسي على وزارات الخارجية والسفارات والأحداث الجيوسياسية والعمليات العسكرية. الهدف الأساسي للمجموعة هو التجسس. تُظهر هجماتها stealth و persistence، وقدرتها على التكيف السريع مع تكتيكات وتقنيات وإجراءات جديدة.”

تجدر الإشارة إلى أن مجموعة القرصنة تم توثيقها لأول مرة من قبل الشركة الأمنية في يونيو 2023 تحت اسم CL-STA-0043. ثم في مايو الماضي، تم ترقية مجموعة التهديد إلى مجموعة مؤقتة، TGR-STA-0043، بعد الكشف عن جهودها المستمرة في التجسس السيبراني على الكيانات الحكومية منذ أواخر 2022 كجزء من حملة تحمل اسم عملية الظل الدبلوماسي.

توجهات المجموعة

قالت Unit 42 إن مراقبتها المستمرة للمجموعة أدت إلى تصنيفها كفاعل تهديد جديد يهدف إلى تمكين جمع المعلومات الاستخباراتية على المدى الطويل والحصول على بيانات سرية من أهداف ذات أهمية استراتيجية للصين، سواء من الناحية الاقتصادية أو الجيوسياسية.

“تأخذ المجموعة اهتمامًا بالتواصل الدبلوماسي، والمعلومات المتعلقة بالدفاع، وعمليات الوزارات الحكومية الحيوية،” أضافت الشركة. “غالبًا ما تتزامن توقيت ونطاق عمليات المجموعة مع الأحداث العالمية الكبرى والشؤون الأمنية الإقليمية.”

تُظهر مجموعة فانتوم ثور أيضًا أسلوب عمل مميز من خلال استخدام أدوات وتقنيات تم تطويرها خصيصًا، والتي نادرًا ما تُلاحظ في مشهد التهديدات. يتضمن ذلك مجموعة برمجيات خبيثة غير مسبوقة تُدعى NET-STAR. تم تطويرها باستخدام .NET، وهي مصممة لاستهداف خوادم خدمات المعلومات على الإنترنت (IIS).

البنية التحتية المستخدمة

على الرغم من ذلك، اعتمدت المجموعة على بنية تحتية تشغيلية مشتركة تم استخدامها سابقًا من قبل مجموعات مثل AT27 (المعروفة أيضًا باسم Iron Taurus)، APT41 (المعروفة أيضًا باسم Starchy Taurus أو Winnti)، وMustang Panda (المعروفة أيضًا باسم Stately Taurus). من ناحية أخرى، لم يتم اكتشاف مكونات البنية التحتية المستخدمة من قبل الفاعل في عمليات قامت بها مجموعات أخرى، مما يشير إلى نوع من “التقسيم التشغيلي” داخل النظام البيئي المشترك.

لا يزال من غير الواضح ما هو متجه الوصول الأولي، ولكن تم استغلال عمليات سابقة ثغرات في خوادم خدمات المعلومات على الإنترنت (IIS) وخوادم Microsoft Exchange، مستغلة عيوب مثل ProxyLogon وProxyShell، لاختراق الشبكات المستهدفة.

قال أساف داهان، مدير أبحاث التهديدات في Unit 42، لـ The Hacker News: “حتى الآن، رأيناهم يستغلون ثغرات معروفة لخوادم IIS وMicrosoft Exchange (مثل ProxyLogon وProxyShell)، لكن هذا لا يعني أنه لن يتغير في المستقبل. المجموعة موهوبة للغاية ومتحمسة – ستجد طريقة للدخول بطريقة أو بأخرى.”

جانب آخر مهم من الهجمات هو التحول من جمع رسائل البريد الإلكتروني إلى استهداف قواعد البيانات مباشرة باستخدام نص برمجي يتيح الاتصال بقاعدة بيانات SQL Server، وتصدير النتائج في شكل ملف CSV، وإنهاء الاتصال. يتم تنفيذ النص باستخدام بنية Windows Management Instrumentation (WMI).

قالت Unit 42 إن الفاعل استخدم هذه الطريقة للبحث بشكل منهجي عن مستندات ذات أهمية ومعلومات تتعلق بدول معينة مثل أفغانستان وباكستان.

مجموعة NET-STAR

استفادت الهجمات الأخيرة التي شنتها فانتوم ثور أيضًا من NET-STAR، التي تتكون من ثلاثة أبواب خلفية تعتمد على الويب، كل منها يؤدي وظيفة محددة مع الحفاظ على الوصول إلى بيئة IIS المساهمة –

• IIServerCore: باب خلفي مودولار بدون ملفات يتم تحميله عبر واجهة ASPX يدعم التنفيذ في الذاكرة لوسائط الأوامر، والأوامر التعسفية، والحمولات، وينقل النتائج عبر قناة اتصالات مشفرة.
• AssemblyExecuter V1: يقوم بتحميل وتنفيذ حمولة .NET إضافية في الذاكرة.
• AssemblyExecuter V2: نسخة محسنة من AssemblyExecuter V1، تأتي مزودة أيضًا بقدرة على تجاوز واجهة فحص البرمجيات الخبيثة (AMSI) وتتبع الأحداث لنظام Windows (ETW).

قالت Unit 42 إن مجموعة برمجيات NET-STAR تُظهر تقنيات تفادي متقدمة وفهمًا عميقًا لهندسة .NET، مما يمثل تهديدًا كبيرًا للخوادم المتصلة بالإنترنت. كما يدعم IIServerCore أمرًا يسمى changeLastModified، مما يشير إلى أن البرمجيات الخبيثة لديها قدرات timestomping نشطة، مصممة لتشويش المحللين الأمنيين وأدوات التحليل الرقمي.