الأخبار التكنولوجية والاستعراضات والنصائح!
Blogs4

"DarkHotel" تستغل VPN Zero-Days لاختراق الوكالات الصينية

  • انخرطت "DarkHotel" APT في عمليات التجسس السيبراني ضد الحكومة الصينية.
  • أنشأ المتسللون سلسلة هجوم ذكية للغاية استنادًا إلى صفر يوم تم إصلاحه الآن.
  • البرنامج المستغل هو Sangfor SSL VPN ، والذي تستخدمه الوكالات الصينية على نطاق واسع.

وبحسب ما ورد فإن "DarkHotel" ، وهي نفس مجموعة الممثلين التي يشتبه مؤخرًا في استهداف منظمة الصحة العالمية ، تستغل الآن صفر أيام في أدوات VPN لمهاجمة مختلف الوكالات الحكومية الصينية. DarkHotel هي APT شاركت سابقًا في عمليات جمع المعلومات الاستخبارية ، والتي استهدفت مجموعة واسعة من المجالات ، من مصنعي الإلكترونيات والأدوية إلى الدفاع العسكري ومقدمي خدمات إنفاذ القانون. لسنوات ، استخدمت شبكات الفنادق لمتابعة أهدافها البارزة (الرؤساء التنفيذيين ونواب الرئيس) أثناء سفرهم. هذه المرة ، يزعم أنهم يركزون على الوكالات الصينية وموظفيها.

بحسب تقارير الخبير الأمني ​​الصيني Qihoo 360 ، تستغل DarkHotel ثغرة يوم صفر في Sangfor SSL VPN ، وهو أفضل حل للوصول إلى شبكة المؤسسة لـ "Sangfor Technologies" التي تتخذ من شنتشن مقراً لها. ومن بين 200 خادم VPN تم اختراقها في هذه الحملة ، ينتمي العديد منها إلى الوكالات الحكومية في بكين وشنغهاي ، وكذلك السفارات الصينية في المملكة المتحدة والهند وإسرائيل وكوريا الشمالية والإمارات العربية المتحدة والمملكة العربية السعودية وإيطاليا وتايلاند وإندونيسيا وإيران وتركيا. تمكن الهاكرز من اكتشاف سلسلة هجوم جديدة أتاحت لهم الوصول إلى خوادم Sangfor VPN عن طريق استبدال "SangforUD.exe" بنسخة ضارة أنشأوها.

العملية "width =" 864 "height =" 356 "data-srcset =" https://cdn.technadu.com/wp-content/uploads/2020/04/process.png 864w، https: //cdn.technadu. com / wp-content / uploads / 2020/04 / process-300x124.png 300w، https://cdn.technadu.com/wp-content/uploads/2020/04/process-768x316.png 768w، https: // cdn.technadu.com/wp-content/uploads/2020/04/process-200x82.png 200w، https://cdn.technadu.com/wp-content/uploads/2020/04/process-696x287.png 696w " الأحجام = "(الحد الأقصى للعرض: 864 بكسل) 100vw ، 864 بكسلالمصدر: Qihoo 360

ثم دفعوا هذا الملف كتحديث لتطبيق Sangfor VPN لسطح المكتب ، والذي قام المستخدمون بتثبيته على أجهزة الكمبيوتر الخاصة بهم. ثم تمكن القراصنة من زرع باب خلفي للأجهزة المستهدفة وتنفيذ التعليمات البرمجية عبر كود القشرة الذي تم جلبه من السحابة. كما يشير باحثو Qihoo 360 ، فإن الهجوم بأكمله معقد للغاية ومخفي بشكل جيد. يحصل كود القشرة على معلومات النظام ويرسلها إلى خادم C2. في الوقت نفسه ، سيقوم الباب الخلفي بتثبيت مكونات DLL الضارة التي يمكنها القيام بأشياء مثل الاستيلاء على خدمة الطابعة على مستوى التسجيل.

shellcode "width =" 696 "height =" 338 "data-srcset =" https://cdn.technadu.com/wp-content/uploads/2020/04/shellcode-1024x498.png 1024w، https: // cdn. technadu.com/wp-content/uploads/2020/04/shellcode-300x146.png 300w، https://cdn.technadu.com/wp-content/uploads/2020/04/shellcode-768x373.png 768w، https: //cdn.technadu.com/wp-content/uploads/2020/04/shellcode-200x97.png 200w، https://cdn.technadu.com/wp-content/uploads/2020/04/shellcode-696x338.png 696 واط ، https://cdn.technadu.com/wp-content/uploads/2020/04/shellcode-1068x519.png 1068w ، https://cdn.technadu.com/wp-content/uploads/2020/04/shellcode -864x420.png 864w، https://cdn.technadu.com/wp-content/uploads/2020/04/shellcode.png 1080w "أحجام =" (الحد الأقصى للعرض: 696 بكسل) 100vw ، 696 بكسلالمصدر: Qihoo 360

DarkHotel ، وهي APT يعتقد أنها نشأت من الشرق الأوسط ، تستغل بنشاط الوضع الحالي الذي تسبب في إهمال مسؤولي النظام. تستخدم البعثات الدبلوماسية أدوات VPN للاتصال عن بعد ، لذا فإن الأسرار ذات القيمة العالية تحلق حولها بأسعار غير مسبوقة في الوقت الحالي. ومن المثير للاهتمام ، أن المهاجمين ركزوا هجماتهم في إصدارات خادم Sangfor VPN القديمة جدًا ، والتي يعود تاريخها إلى عام 2014. وهذا يدل على الإهمال والغموض اللذين يدعمان عمليات "العمل عن بُعد" الحالية حتى على أعلى مستوى ، وكيف لقد وجد الوباء الجميع غير مستعدين ، باستثناء الجهات الخبيثة.

نحن نوصيك: