تستمر مجموعة APT41 في استخدام تقنيات متطورة لاستهداف بيئات السحابة، مما يشكل تهديدًا كبيرًا للأمن السيبراني.
تستخدم مجموعة التهديد الصينية الشهيرة APT41 برمجيات خبيثة غير قابلة للاكتشاف لاستهداف أحمال العمل السحابية المعتمدة على نظام Linux لسرقة بيانات الاعتماد من بيئات Amazon Web Services (AWS) وGoogle Cloud Platform (GCP) وMicrosoft Azure وAlibaba Cloud.
البرمجية الخبيثة المنسوبة إلى APT41 (المعروفة أيضًا باسم Winnti وWicked Panda وBarium وSilver Dragon وBrass Typhoon) مكتوبة بصيغة ELF القابلة للتنفيذ والربط في السحابة وتستخدم منفذ SMTP 25 كقناة للتواصل والتحكم (C2) لجعل نشاطها “غير مرئي لأدوات الفحص التقليدية مثل Shodan وCensys”، وفقًا لتقرير حديث من Breakglass Intelligence.
“الملف التنفيذي ELF هو ملف x86-64 مصمم للبقاء على أنظمة Linux السحابية”، وفقًا للتقرير. “في وقت التحليل، لم يكن لديه أي اكتشافات على VirusTotal.”
تعد هذه البرمجية نتيجة لاستثمار APT41 على مدى ست سنوات على الأقل في تطوير أدوات سحابية، “تتقدم من قذائف عكسية بسيطة إلى أدوات مصممة خصيصًا لسرقة بيانات اعتماد السحابة مع C2 مقاومة للفحص”، وفقًا للتقرير. كما تستفيد الحملة من تقنية typosquatting بطريقة تخفي نشاطها الشبكي الخبيث، مما يجعل من الصعب تتبعها، كما قال الباحثون.
تقنية Typosquatting للتخفي
تستهدف العملية المكتشفة حديثًا من APT41 أحمال العمل السحابية الحديثة بدلاً من نقاط النهاية التقليدية، حيث تستخدم البرمجية ELF لسرقة بيانات اعتماد مزودي السحابة والبيانات الوصفية من بيئات مختلفة. بمجرد نشرها، تبدأ البرمجية الخبيثة على الفور في استكشاف خدمة بيانات التعريف الخاصة بـ AWS — نقطة النهاية المعروفة 169.254.169.254 — لاستخراج بيانات اعتماد مؤقتة مرتبطة بهوية السحابة للمضيف.
في البيئات التي تكون فيها الأذونات واسعة جدًا، يمكن أن تفتح هذه الخطوة الواحدة الباب للوصول إلى نطاق أوسع، وفقًا لـ Breakglass. كما تستفسر البرمجية عن خدمات أخرى لـ Azure وAlibaba وGCP.
علاوة على ذلك، فإن استخدام المجموعة لثلاثة مجالات تم تسجيلها بشكل خاطئ يجعل الحملة صعبة التتبع بشكل خاص. يعتمد المشغلون على مجالات تشبه خدمات Alibaba Cloud الشرعية بالإضافة إلى استخدام العلامة التجارية الصينية للأمن السيبراني Qianxin، مما يستخدم تقنيات typosquatting الكلاسيكية التي تدمج الحركة الخبيثة في ضجيج العمليات الطبيعية.
“تم تسجيل المجالات الثلاثة جميعها من خلال NameSilo خلال نافذة زمنية مدتها 24 ساعة (20-21 يناير 2026) مع تمكين حماية الخصوصية”، وفقًا للتقرير. “هذا النمط من التسجيل يتماشى مع أساليب APT41 في الحصول على البنية التحتية — التسجيل بالجملة من خلال مسجلي نطاقات منخفضة التكلفة مع حماية WHOIS، تليها النشر الفوري.”
بالفعل، يعد استخدام خدمات سحابية شرعية لإخفاء حركة C2 سلوكًا نموذجيًا لمجموعة APT41 وهو تكتيك مستخدم بشكل متكرر من قبل المهاجمين لإخفاء أنشطتهم الخبيثة. علاوة على ذلك، حتى عندما يحدد المدافعون البنية التحتية، فإن خوادم C2 المستخدمة في الحملة تكون عمداً غير مستجيبة للفحص العادي، حيث تتفاعل فقط مع الحركة التي تحاكي نمط الاتصال الدقيق للبرمجية الخبيثة، وفقًا لـ Breakglass.
الكشف والوقاية
تعد بيانات اعتماد السحابة مفاتيح المملكة، وبمجرد أن يحصل الخصوم عليها يمكنهم التصرف كمستخدمين شرعيين داخل بيئة سحابية لإحداث الفوضى من خلال التنقل عبر الخدمات، وزيادة الامتيازات، والحفاظ على الوصول دون ترك آثار البرمجيات الخبيثة المعتادة.
لمساعدة المدافعين على اكتشاف ما إذا كانت APT41 قد انتهكت بيئة سحابية لمنظمة ما باستخدام البرمجية الخبيثة، قدمت Breakglass نصائح للكشف عن النشاط الخبيث على مستوى الشبكة والمضيف والسحابة من أجل الإصلاح الفوري.
للكشف عن نشاط APT41 على مستوى الشبكة، يجب على المدافعين مراقبة حركة SMTP الصادرة (المنفذ 25) من أحمال العمل غير البريدية، والتي لا ينبغي أن تبدأ هذه الاتصالات. يجب عليهم أيضًا إعداد تنبيه على حركة UDP البث إلى المنفذ 6006، وهو منفذ خدمة غير قياسي قد يشير إلى حركة غير طبيعية. علاوة على ذلك، يمكن للمنظمات قفل أو مراقبة الاتصالات إلى 43[.]99[.]48[.]196 والمجالات الثلاثة التي تم تسجيلها بشكل خاطئ، وفقًا لـ Breakglass.
للكشف القائم على المضيف، يمكن للمدافعين تدقيق القراءات غير المتوقعة لملفات بيانات اعتماد السحابة، بالإضافة إلى مراقبة استدعاءات واجهة برمجة تطبيقات بيانات تعريف المثيل السحابي من عمليات غير قياسية، حيث أن SDKs الشرعية وواجهات سطر الأوامر لها أسماء عمليات معروفة. يمكنهم أيضًا البحث عن ملفات ELF مقطوعة ومربوطة بشكل ثابت في مواقع غير متوقعة، بما في ذلك أماكن مثل: /tmp و/var/tmp و/dev/shm.
يتضمن الكشف القائم على السحابة تمكين AWS CloudTrail وGoogle Cloud Audit Logs وإعداد تنبيهات على استخدام بيانات الاعتماد من عناوين IP غير متوقعة، ومراجعة أحداث افتراض دور IAM لأنماط غير طبيعية، وتنفيذ IMDSv2 (AWS) ليتطلب رموز الجلسة للوصول إلى البيانات الوصفية، مما يرفع من مستوى الحماية ضد سرقة بيانات الاعتماد، وفقًا لـ Breakglass.
لا تفوت أحدث بودكاست Dark Reading Confidential، “مدراء الأمن جميعهم في مجال الذكاء الاصطناعي: إليك السبب”، حيث يناقش CISO Reddit فريدريك لي والمحلل في Omdia ديف غروبر الذكاء الاصطناعي وتعلم الآلة في SOC، وكيف كانت عمليات النشر الناجحة (أو لم تكن) وما يحمله المستقبل لمنتجات أمان الذكاء الاصطناعي. استمع الآن!
تعتبر معرفة تقنيات APT41 أمرًا حيويًا لحماية بيئات السحابة من التهديدات المتزايدة.
