بقلم روبرت فالكون، جيف وايت، وبيتر رينالز

أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية تحذيرًا من أن الجهات الناشطة في مجال التهديد المتقدم تستغل نقاط الضعف التي تم تحديدها حديثًا في إدارة كلمات مرور الخدمة الذاتية وحل تسجيل الدخول الفردي المعروف باسم “ادارة محرك ايه دي الخدمة الذاتية بلاس”.

وأوضح التنبيه أن الجهات الخبيثة تنشر “قشرة ويب” محددة وتقنيات أخرى للحفاظ على المثابرة في بيئات الضحايا. كما تم اكتشاف حملة ثانية غير ذات صلة تنفذ هجمات ناجحة ضد نفس الثغرة الأمنية في الأيام التي تلت.

في وقت مبكر من 17 سبتمبر، استفاد المهاجمون من البنية التحتية المؤجرة في الولايات المتحدة لتفحص مئات المؤسسات الضعيفة عبر الإنترنت. بعد ذلك، بدأت محاولات الاستغلال في 22 سبتمبر ومن المحتمل أنها استمرت حتى أوائل أكتوبر، نجح خلالها المهاجمون في اختراق تسعة كيانات عالمية على الأقل في مجالات التكنولوجيا، الدفاع، الرعاية الصحية، الطاقة، والتعليم من تلك النافذة.

بعد الاستغلال الأولي، تم تحميل برنامج على شبكات الضحايا قام بتثبيت “قشرة ويب غودزيلا” بشكل متسق، ومع ذلك، لاحظنا أيضًا مجموعة فرعية أصغر من المؤسسات المخترقة التي تلقت لاحقًا نسخة معدلة من باب خلفي جديد يسمى “ان جي لايت”. استخدم المهاجمون بعد ذلك إما “قشرة ويب” أو حمولة “ان جي لايت” لتشغيل الأوامر والانتقال إلى أنظمة أخرى على الشبكة، بينما قاموا بتسريب الملفات المهمة ببساطة عن طريق تنزيلها من خادم الويب. بمجرد تحول المهاجمين إلى وحدة تحكم المجال، قاموا بتثبيت أداة جديدة لسرقة بيانات الاعتماد نتتبعها باسم “اسفنجة كاي دي سي”.

تم تطوير كل من “غودزيلا” و “ان جي لايت” بإرشادات صينية وهما متاحان للتنزيل على “محور غيت”.  نعتقد أن الجهات المهاجمة استخدمت هذه الأدوات مجتمعة كشكل من أشكال التكرار للحفاظ على الوصول إلى الشبكات ذات الاهتمام العالي. “غودزيلا” هو عبارة عن “قشرة ويب” غنية بالوظائف تقوم بتوزيع طلبات “بريد اتش تي تي بي” الواردة، وفك تشفير البيانات بمفتاح سري، وتنفيذ المحتوى المشفر لإتمام وظائف إضافية مع اعادة النتيجة عبر استجابة “اتش تي تي بي”.  يتيح ذلك للمهاجمين بإبقاء الرمز المحتمل أن يصنف ضار خارج النظام المستهدف حتى يتمكنوا من تنفيذه ديناميكيًا.

يصف مصمم “ان جي لايت” بأنه “برنامج تحكم عن بعد مجهول عبر الأنظمة الأساسية يعتمد على تقنية سلسلة الكتل”. يستفيد من البنية التحتية لنوع جديد من الشبكة لاتصالات القيادة والتحكم “سي 2″، والتي تؤدي نظريًا إلى إخفاء هوية مستخدميها. من المهم ملاحظة أن “نوع جديد من الشبكة” هي خدمة شبكات مشروعة تستخدم تقنية سلسلة الكتل لدعم شبكة لامركزية من الأقران. استخدام “نوع جديد من الشبكة” كقناة “سي 2” غير شائع جدًا. لقد رأينا 13 عينة فقط تتواصل مع “نوع جديد من الشبكة”، 9 عينات من “ان جي لايت”، وأربع عينات مرتبطة بأداة مساعدة شرعية مفتوحة المصدر تسمى “الإندفاع” تستخدم “نوع جديد من الشبكة” لمشاركة الملفات.

أخيرًا، “اسفنجة كاي دي سي” هي أداة جديدة لسرقة بيانات الاعتماد، يتم نشرها ضد وحدات التحكم بالمجال وتقوم بحقن نفسها في خدمة النظام الفرعي لسلطة الأمان المحلية وتتصل بوظائف محددة لجمع أسماء المستخدمين وكلمات المرور من الحسابات التي تحاول المصادقة على المجال عبر “كيربيروس”. تنسخ الشفرة الخبيثة بيانات اعتماد مسروقة إلى ملف ولكنها تعتمد على إمكانات أخرى للتسلل.

يتمتع عملاء “شبكات بالو التو” بالحماية ضد هذه الهجمات من خلال:

• حظر التحليل المحلي “قشرة اكس دي آر” الباب الخلفي ل”ان جي لايت”
• تصنيف جميع العينات المعروفة “دروبر، ان جي لايت، واسفنجة كاي دي سي” على أنها برامج ضارة بواسطة “وايلد فاير”.
• امكانية تحديد “قشرة اكسبنس” بدقة “ادارة محرك زوهو” و”ايه دي سلف سرفيس بلاس” و”ادارة محرك الجهاز المكتبي المركزي” او”خوادم ادارة محركات خدمة دسك بلاس” عبر الشبكات العميلة.  

مقالات ذات صلة

عرض الكل