يتعرض مزودو الاتصالات في الشرق الأوسط لهجمات إلكترونية جديدة بدأت في الربع الأول من عام 2023.
نُسبت مجموعة التطفل إلى ممثل تجسس إلكتروني صيني مرتبط بحملة طويلة المدى أُطلق عليها اسم عملية الخلية اللينة بناءً على تداخل الأدوات.
قال باحثون من SentinelOne و QGroup في تقرير تقني جديد تمت مشاركته مع The Hacker News: "تتضمن مرحلة الهجوم الأولي التسلل إلى خوادم Microsoft Exchange التي تواجه الإنترنت لنشر قذائف الويب المستخدمة لتنفيذ الأوامر".
"بمجرد إنشاء موطئ قدم ، يقوم المهاجمون بمجموعة متنوعة من أنشطة الاستطلاع وسرقة بيانات الاعتماد والحركة الجانبية وأنشطة استخراج البيانات."
تشير عملية Soft Cell ، وفقًا لـ Cybereason ، إلى الأنشطة الخبيثة التي تقوم بها الجهات الفاعلة التابعة للصين والتي تستهدف مزودي الاتصالات منذ عام 2012 على الأقل.
من المعروف أن فاعل تهديد Soft Cell ، الذي تتبعه Microsoft أيضًا باسم Gallium ، يستهدف خدمات غير مسبوقة تواجه الإنترنت ويستخدم أدوات مثل Mimikatz للحصول على بيانات اعتماد تسمح بالحركة الجانبية عبر الشبكات المستهدفة.
كما تستخدم المجموعة العدائية باب خلفي "يصعب اكتشافه" يحمل الاسم الرمزي PingPull في هجمات التجسس الموجهة ضد الشركات العاملة في جنوب شرق آسيا وأوروبا وأفريقيا والشرق الأوسط.
من الأمور المركزية للحملة الأخيرة نشر متغير مخصص من Mimikatz يُشار إليه باسم mim221 ، والذي يحتوي على ميزات جديدة لمكافحة الاكتشاف.
قال الباحثون إن "استخدام الوحدات ذات الأغراض الخاصة التي تنفذ مجموعة من التقنيات المتقدمة يظهر تفاني الجهات الفاعلة في التهديد في تطوير مجموعة أدواتها نحو أقصى قدر من التخفي" ، مضيفين أنها "تسلط الضوء على الصيانة المستمرة ومواصلة تطوير ترسانة برامج التجسس الخبيثة الصينية. . "
أثبتت الهجمات في النهاية أنها غير ناجحة ، حيث تم اكتشاف الاختراقات وحظرها قبل نشر أي غرسات على الشبكات المستهدفة.
تشير الأبحاث السابقة حول الغاليوم إلى أوجه تشابه تكتيكية [PDF] مع مجموعات الدولة القومية الصينية المتعددة مثل APT10 (المعروف أيضًا باسم Bronze Riverside أو Potassium أو Stone Panda) و APT27 (المعروف أيضًا باسم Bronze Union أو Emissary Panda أو Lucky Mouse) و APT41 (المعروف أيضًا باسم الباريوم أو الأطلس البرونزي أو الباندا الشريرة).
يشير هذا مرة أخرى إلى مؤشرات على مشاركة أدوات مغلقة المصدر بين الجهات الفاعلة في مجال التهديد التي ترعاها الدولة الصينية ، ناهيك عن إمكانية وجود "مسؤول إمداد رقمي " مسؤول عن صيانة مجموعة الأدوات وتوزيعها.
تأتي النتائج وسط الكشف عن أن العديد من مجموعات القرصنة الأخرى ، بما في ذلك BackdoorDiplomacy و WIP26 ، قد وضعت أنظارها على مزودي خدمات الاتصالات في منطقة الشرق الأوسط.
وخلص الباحثون إلى أنه "من المعروف أن الجهات الفاعلة في مجال تهديد التجسس السيبراني الصيني لها مصلحة إستراتيجية في الشرق الأوسط".
"من شبه المؤكد أن الجهات الفاعلة في مجال التهديد ستستمر في استكشاف أدواتها وتحديثها بتقنيات جديدة لتفادي الاكتشاف ، بما في ذلك دمج وتعديل التعليمات البرمجية المتاحة للجمهور".