هجوم سيبراني صيني يستهدف خدمات حكومية في إفريقيا باستخدام SharePoint وأدوات اختراق متقدمة

كشفت شركة كاسبرسكي عن حملة تجسس إلكتروني جديدة نفذتها مجموعة APT41 المرتبطة بالحكومة الصينية، استهدفت من خلالها خدمات تقنية المعلومات في جهات حكومية إفريقية.

ووفقًا للباحثين دينيس كوليك ودانييل بوغوريلوف، استخدم المهاجمون أسماء خدمات داخلية وعناوين IP وخوادم بروكسي مضمّنة داخل برمجياتهم الخبيثة، حيث تم التعرف على خادم SharePoint مخترق يُستخدم كخادم تحكم وسيطرة (C2) داخل البنية التحتية للضحية.

تُعد مجموعة APT41 من أكثر مجموعات التجسس الإلكتروني نشاطًا، حيث سبق أن استهدفت قطاعات الاتصالات والطاقة، والجامعات، والمنشآت الصحية، وشركات التكنولوجيا في أكثر من 36 دولة. المثير للاهتمام في هذه الحملة هو تركيزها على إفريقيا، والتي نادرًا ما كانت هدفًا لهذه المجموعة بحسب تقارير سابقة، إلا أن أنشطة مشابهة سُجلت منذ أواخر عام 2022.

بدايات الهجوم:

بدأت كاسبرسكي التحقيق بعد رصد “نشاطات مشبوهة” في العديد من محطات العمل المرتبطة بالبنية التحتية لمنظمة غير معلنة، حيث حاول المهاجمون اختبار اتصالهم بخوادم C2 سواء بشكل مباشر أو عبر بروكسي داخلي مخترق.

وقد تبين لاحقًا أن مصدر النشاط المشبوه هو جهاز غير مراقب تم اختراقه، وتم تنفيذ أداة Impacket عليه باستخدام حساب خدمة. وبعد تنفيذ وحدات Atexec و WmiExec، أوقف المهاجمون نشاطهم مؤقتًا.

مراحل التصعيد:

لاحقًا، قام المهاجمون بسرقة بيانات اعتماد حسابات بصلاحيات عالية، مما مكنهم من تصعيد الامتيازات والتنقل الجانبي داخل الشبكة، ومن ثم تم استخدام أداة Cobalt Strike للتواصل مع خوادم التحكم عبر تقنية DLL Side-Loading.

آليات التمويه واللغة:

قامت ملفات DLL الخبيثة بالتحقق من حزم اللغة المثبتة على الجهاز، ولا يتم تنفيذ التعليمات إلا إذا لم تكن الحزم التالية موجودة:

• اليابانية

• الكورية (كوريا الجنوبية)

• الصينية (الصين القارية)

• الصينية (تايوان)

SharePoint كقناة تحكم:

استُخدم خادم SharePoint داخلي كوسيلة للتواصل بين المخترقين والأجهزة الضحية، عبر تحميل برمجية خبيثة بلغة #C تُنفذ الأوامر القادمة من ملف ويب شل يُسمى CommandHandler.aspx.
وقد تم توزيع الملفات agents.exe و agentx.exe عبر بروتوكول SMB، وهما عبارة عن أحصنة طروادة تقوم بتنفيذ الأوامر المستلمة من الويب شل.

أدوات إضافية:

استخدم المهاجمون أيضًا ملفًا من نوع HTA يحتوي على JavaScript، يتم تشغيله باستخدام الأمر:

الرابط المستخدم كان مموهًا على أنه تابع لموقع GitHub (مثل github.githubassets[.]net) لتجنب اكتشافه.

ويُعتقد أن الحمولة (payload) كانت تهدف إلى إنشاء اتصال عكسي (reverse shell)، يسمح بتنفيذ الأوامر عن بُعد على الجهاز المصاب.

أدوات جمع المعلومات:

قام المهاجمون بنشر عدة أدوات لجمع البيانات منها:

• Pillager (نسخة معدلة): لسرقة بيانات المتصفحات وقواعد البيانات والرموز والمحادثات ولقطات الشاشة وبيانات البريد الإلكتروني.

• Checkout: لسرقة معلومات الملفات التي تم تحميلها وبيانات البطاقات البنكية من متصفحات مثل Chrome وOpera وBrave وغيرها.

• RawCopy: لنسخ ملفات الريجستري الخام.

• Mimikatz: لاستخراج بيانات اعتماد الحسابات.

تؤكد كاسبرسكي أن المهاجمين استخدموا مزيجًا من أدوات عامة وأخرى مخصصة، مثل Cobalt Strike وImpacket وMimikatz، مما يجعل اكتشاف الهجوم أكثر تعقيدًا، خاصة في بيئات Windows.

وأبرز ما يميز هذه الحملة هو قدرتها على التكيّف مع البنية التحتية للضحايا، واستخدام خدمات داخلية مثل SharePoint كقنوات تخفي للتحكم والتسريب.