هجمات البرمجيات الخبيثة المرتبطة بالصين: PlugX وBookworm تستهدف الشبكات الآسيوية
تعتبر قطاعات الاتصالات والتصنيع في دول وسط وجنوب آسيا هدفًا لحملة مستمرة تقوم بتوزيع نسخة جديدة من برمجية خبيثة معروفة تُدعى PlugX (المعروفة أيضًا باسم Korplug أو SOGU).
قال باحثو Cisco Talos، جوي تشين وتاكا هيرو تاكيدا، في تحليل نُشر هذا الأسبوع: “تتداخل ميزات النسخة الجديدة مع كل من RainyDay وTurian، بما في ذلك استغلال نفس التطبيقات الشرعية لتحميل DLL، وخوارزمية XOR-RC4-RtlDecompressBuffer المستخدمة لتشفير/فك تشفير الحمولة ومفاتيح RC4 المستخدمة.”
أشارت الشركة المتخصصة في الأمن السيبراني إلى أن التكوين المرتبط بنسخة PlugX يختلف بشكل كبير عن تنسيق تكوين PlugX المعتاد، حيث يتبنى بدلاً من ذلك نفس الهيكل المستخدم في RainyDay، وهو باب خلفي مرتبط بممثل تهديد مرتبط بالصين يُعرف باسم Lotus Panda (المعروف أيضًا باسم Naikon APT). من المحتمل أن تتعقبها Kaspersky باسم FoundCore وتُنسب إلى مجموعة تهديد تتحدث الصينية تُسمى Cycldek.
يُعتبر PlugX طروادة وصول عن بُعد (RAT) متعددة الوحدات تُستخدم على نطاق واسع من قبل العديد من مجموعات القرصنة المرتبطة بالصين، ولكن بشكل بارز من قبل Mustang Panda (المعروفة أيضًا باسم BASIN وBronze President وCamaro Dragon وEarth Preta وHoneyMyte وRedDelta وRed Lich وStately Taurus وTEMP.Hex وTwill Typhoon).
من ناحية أخرى، يُعتبر Turian (المعروف أيضًا باسم Quarian أو Whitebird) بابًا خلفيًا يُستخدم حصريًا في الهجمات السيبرانية التي تستهدف الشرق الأوسط من قبل مجموعة تهديد مستمرة متقدمة (APT) لها روابط بالصين تُعرف باسم BackdoorDiplomacy (المعروفة أيضًا باسم CloudComputating أو Faking Dragon).
تشير أنماط الضحايا – خاصة التركيز على شركات الاتصالات – وتنفيذ البرمجيات الخبيثة التقنية إلى أدلة تشير إلى وجود روابط محتملة بين Lotus Panda وBackdoorDiplomacy، مما يثير احتمال أن تكون المجموعتان واحدة أو أنهما يحصلان على أدواتهما من بائع مشترك.
في حادثة واحدة تم اكتشافها من قبل الشركة، يُقال إن Naikon استهدفت شركة اتصالات في كازاخستان، وهي دولة تشترك في حدودها مع أوزبكستان، التي تم تسليط الضوء عليها سابقًا من قبل BackdoorDiplomacy. علاوة على ذلك، تم العثور على كلتا مجموعتي القرصنة تركزان على دول جنوب آسيا.
تشمل سلاسل الهجمات استغلال تنفيذ شرعي مرتبط بتطبيق Mobile Popup لتحميل DLL خبيثة تُستخدم بعد ذلك لفك تشفير وإطلاق حمولات PlugX وRainyDay وTurian في الذاكرة. لقد اعتمدت موجات الهجمات الأخيرة التي نظمتها جهة التهديد بشكل كبير على PlugX، الذي يستخدم نفس هيكل التكوين مثل RainyDay ويتضمن مكون تسجيل ضغط مدمج.
قال Talos: “بينما لا يمكننا استنتاج وجود ارتباط واضح بين Naikon وBackdoorDiplomacy، هناك جوانب متداخلة كبيرة – مثل اختيار الأهداف، وطرق تشفير/فك تشفير الحمولة، وإعادة استخدام مفاتيح التشفير واستخدام أدوات مدعومة من نفس البائع.” تشير هذه التشابهات إلى وجود ارتباط متوسط الثقة بممثل يتحدث الصينية في هذه الحملة.
تفاصيل برمجية Bookworm الخبيثة من Mustang Panda
تأتي هذه الإفصاحات في الوقت الذي تسلط فيه Palo Alto Networks Unit 42 الضوء على كيفية عمل برمجية Bookworm الخبيثة التي استخدمها ممثل Mustang Panda منذ عام 2015 للسيطرة بشكل واسع على الأنظمة المخترقة. تأتي هذه الطروادة المتقدمة مزودة بقدرات لتنفيذ أوامر عشوائية، وتحميل/تنزيل الملفات، واستخراج البيانات، وإقامة وصول دائم.
في وقت سابق من هذا مارس، قالت الشركة المتخصصة في الأمن السيبراني إنها حددت هجمات تستهدف الدول المرتبطة برابطة دول جنوب شرق آسيا (ASEAN) لتوزيع البرمجية الخبيثة.
تستخدم Bookworm نطاقات تبدو شرعية أو بنية تحتية مخترقة لأغراض C2 لتندمج مع حركة المرور الشبكية العادية. تم العثور على بعض المتغيرات من البرمجية الخبيثة أيضًا تشترك في تداخل مع TONESHELL، وهو باب خلفي معروف مرتبط بـ Mustang Panda منذ أواخر 2022.
مثل PlugX وTONESHELL، تعتمد سلاسل الهجمات التي توزع Bookworm على تحميل DLL لتنفيذ الحمولة، على الرغم من أن المتغيرات الأحدث قد اعتمدت تقنية تتضمن تغليف الشيفرة كمعرفات فريدة عالمية (UUID) يتم فك تشفيرها وتنفيذها.
قال الباحث في Unit 42، كايل ويلهويت: “تُعرف Bookworm بهيكلها الفريد القابل للتعديل، مما يسمح بتوسيع وظائفها الأساسية عن طريق تحميل وحدات إضافية مباشرة من خادم القيادة والتحكم (C2).” تجعل هذه القابلية للتعديل التحليل الثابت أكثر تحديًا، حيث يعتمد الوحدة الرئيسية على DLLs الأخرى لتوفير وظائف معينة.
“تُظهر هذه النشر والتكيف لـ Bookworm، التي تعمل بالتوازي مع عمليات Stately Taurus الأخرى، دورها المستمر على المدى الطويل في ترسانة الممثل. كما تشير إلى التزام طويل الأمد بتطويرها واستخدامها من قبل المجموعة.”
