تتعرض حكومات آسيا لتهديدات متزايدة من مجموعة LongNosedGoblin، التي تستخدم تقنيات متقدمة في التجسس السيبراني.
مجموعة LongNosedGoblin: تهديد متزايد في عالم التجسس السيبراني
تقوم مجموعة تهديد مستمر متقدمة (APT) مدعومة من الصين، والتي أطلق عليها الباحثون اسم LongNosedGoblin، بشن حملة تجسس سيبراني ضد حكومات اليابان وغيرها من الدول في جنوب شرق آسيا منذ عام 2023.
تستخدم هذه المجموعة أدوات مخصصة تعتمد على C#/.NET لتنفيذ عملياتها، وفقًا للباحثين من ESET الذين نشروا مؤخرًا تقريرًا عن المجموعة. ومن أبرز ما جاء في التقرير هو استخدام المجموعة لسياسة المجموعة كوسيلة لنشر البرمجيات الضارة، فضلاً عن كونها أداة للحركة الجانبية عبر الشبكات المستهدفة.
تستخدم سياسة المجموعة بشكل شرعي كأداة للمسؤولين لتكوين وإنفاذ سياسات الأمان في بيئات أنظمة تشغيل Windows Server وWindows Client، ولتنظيم الوصول إلى أصول Active Directory.
قال أنطون تشيريبانوف، الباحث الرئيسي في ESET: “إذا كان المهاجمون قادرين على نشر البرمجيات الضارة عبر سياسة المجموعة، فهذا يعني أنهم يمتلكون وصولاً إلى وحدة التحكم في المجال وبيانات اعتماد المسؤول في المجال. وهذا يمثل اختراقًا حرجًا للمنظمة المتأثرة.”
حتى الآن، تقول ESET إن مجموعة LongNosedGoblin قد ادعت أقل من عشرة ضحايا، ويضيف تشيريبانوف: “نعتقد أن هذه المجموعة تظهر مستوى معتدل من التعقيد.”
تتضمن أدوات NosyGoblin أيضًا برمجيات ضارة أطلق عليها فريق ESET اسم NosyHistorian، والتي تستخدم للتجسس على تاريخ المتصفح. إذا قررت NosyHistorian أن الهدف يستحق المزيد من المتابعة، فإنها تنشر باب خلفي يسمى NosyDoor، الذي يشتبه المحللون في أنه يُستخدم أيضًا من قبل مجموعة من مجموعات APT المرتبطة بالصين.
يستخدم NosyDoor خدمات سحابية بما في ذلك Microsoft OneDrive كخادم للتحكم في الأوامر، كما يشير التقرير.
طورت مجموعة LongNosedGoblin مجموعة من أدوات التجسس السيبراني لمتابعة جهود الاستطلاع التي يقوم بها NosyDoor.
“خلال تحقيقنا الأصلي بين يناير ومارس 2024، وجدنا العديد من الضحايا المتأثرين بـ NosyHistorian، لكن فقط مجموعة صغيرة منهم تعرضت للاختراق بواسطة NosyDoor،” قال المحللون. “بعض عينات NosyDoor كانت تحتوي حتى على حواجز تنفيذية للحد من العمليات على أجهزة ضحايا محددين.”
اكتشافات جديدة في عالم البرمجيات الضارة
بعد تتبع NosyDoor، وجد الفريق المزيد من الشفرات الخبيثة.
“في وقت لاحق، حددنا المزيد من البرمجيات الضارة غير المعروفة على أجهزة الضحايا: NosyStealer، التي تستخرج بيانات المتصفح؛ NosyDownloader، التي تقوم بتنزيل وتشغيل الحمولة في الذاكرة؛ NosyLogger، وهو مسجل مفاتيح؛ وأدوات أخرى مثل وكيل SOCKS5 العكسي؛ وأداة تشغيل الحجج (أداة تقوم بتشغيل تطبيق تم تمريره كحجة) التي استخدمت لتشغيل مسجل فيديو، على الأرجح FFmpeg، لالتقاط الصوت والفيديو.”
أظهرت التحليلات الإضافية أن LongNosedGoblin كانت تستخدم NosyDownloader بشكل واسع في جنوب شرق آسيا طوال عام 2024. بحلول ديسمبر 2024، لاحظت ESET إصدارًا محدثًا ضد الحكومة اليابانية، وفقًا للتقرير.
تشارك LongNosedGoblin بعض التشابهات مع مجموعتين APT تم اكتشافهما سابقًا، بما في ذلك ToddyCat وErudite Mogwai، لكن فريق ESET وجد اختلافات كافية في أنشطتهم لتحديد أن هذه كانت مجموعة جديدة بأدوات وتكتيكات جديدة محددة.
قال التقرير: “لا يمكننا تأكيد أن Erudite Mogwai وLongNosedGoblin هما نفس الشيء، حيث يوجد فرق واضح في TTPs بين المجموعتين.” وأشار التقرير إلى أن أبحاث Erudite Mogwai لا تذكر إساءة استخدام سياسة مجموعة Active Directory لنشر البرمجيات الضارة – وهي تقنية محددة جدًا لعمليات LongNosedGoblin.
تستمر التهديدات السيبرانية في التطور، مما يستدعي من المؤسسات تعزيز تدابير الأمان لمواجهة هذه التحديات.
