🚧 Cybrat is a sub-brand of SySOC s.r.o. and is currently in beta phase
🚧 سيبرات علامة فرعية مملوكة لشركة سيسوك وتعمل حالياً ضمن المرحلة التجريبية

CYBRAT

ســيــبــرات

لأن الأمان يبدأ بالمعلومة

,

تهديد “فيموس سبيرو” الصيني: الهجمات الإلكترونية على المؤسسات الأمريكية والمكسيكية

2–3 minutes

في يوليو 2024، شهدنا هجومًا إلكترونيًا جديدًا ينفذه الفاعل التهديدي الصيني المعروف باسم “فيموس سبيرو”، مستهدفًا مجموعة تجارية في الولايات المتحدة ومعهد أبحاث في المكسيك. كان الهدف من الهجوم إيصال برمجيات خبيثة متطورة تشمل الباب الخلفي “سبارو دور” (SparrowDoor) و”شادو باد” (ShadowPad).

تحليل شامل للهجوم

يشكل هذا النشاط أول مرة يستخدم فيها “فيموس سبيرو” برمجية “شادو باد” التي تعتبر شائعة بين الجهات الفاعلة المدعومة من الدولة الصينية. وفقًا لتقرير نشرته شركة “إيست” للأمن السيبراني، تم نشر نسختين غير موثقتين سابقًا من “سبارو دور”، إحداهما كانت ذات طبيعة وحداتية، مما يعكس تقدمًا كبيرًا عن الإصدارات السابقة.

تاريخيًا، تم توثيق “فيموس سبيرو” لأول مرة في سبتمبر 2021، حيث كان مرتبطًا بسلسلة من الهجمات الإلكترونية على الفنادق والحكومات والشركات الهندسية ومكاتب المحاماة، مستخدمًا “سبارو دور” كأداة اختراق رئيسية. ومنذ ذلك الحين، أظهرت التقارير تداخلًا تكتيكيًا بين المجموعة وكيانات أخرى مثل “إيرث إسترز” و”غوست إمبيرور”، وأبرزها “سولت تايفون” الذي استهدف قطاع الاتصالات.

تفاصيل تقنية للهجوم

يتضمن سلسلة الهجوم نشر قشرة ويب (Web Shell) على خادم خدمات معلومات الإنترنت (IIS)، رغم أن الآلية الدقيقة لتحقيق ذلك لا تزال غير معروفة. كان الضحايا يستخدمون إصدارات قديمة من خوادم “ويندوز” و”مايكروسوفت إكستشينج”، مما ساعد في تعريضهم للهجوم.

تقوم قشرة الويب بتنزيل وتشغيل سكربت (Batch Script) من خادم بعيد، والذي بدوره يقوم بإطلاق قشرة ويب مكتوبة بلغة (Base64-encoded .NET)، والتي تتولى نشر “سبارو دور” و”شادو باد”.

تظهر إحدى نسخ “سبارو دور” تشابهًا مع “كرو دور”، رغم أن كلا النسختين تتضمن تحسينات كبيرة مثل القدرة على تنفيذ الأوامر المعقدة بشكل متوازي، مما يمنح الباب الخلفي قدرة على معالجة التعليمات الواردة أثناء تنفيذها.

التداعيات الأمنية والتحديات

تسمح “سبارو دور” بمجموعة واسعة من الأوامر التي تمكنها من بدء وكيل (Proxy)، وإطلاق جلسات قشرة تفاعلية، وإجراء عمليات على الملفات، وجمع معلومات عن المضيف، وحتى إلغاء تثبيت نفسها. في المقابل، تتخذ النسخة الثانية نهجًا وحداتيًا، وتدعم تسع وحدات مختلفة، من بينها:

  • Cmd: لتشغيل أوامر فردية.
  • CFile: لأداء عمليات النظام الملفات.
  • CKeylogPlug: لتسجيل ضربات المفاتيح.
  • CSocket: لإطلاق وكيل (TCP).
  • CShell: لبدء جلسة قشرة تفاعلية.
  • CTransf: لبدء نقل الملفات بين المضيف المصاب وخادم التحكم والسيطرة.
  • CRdp: لالتقاط لقطات للشاشة.
  • CPro: لإدراج العمليات الجارية وقتل العمليات المحددة.
  • CFileMoniter: لمراقبة تغييرات النظام الملفات في الدلائل المحددة.

استنتاجات وتوصيات

تشير الأنشطة المكتشفة حديثًا إلى أن المجموعة لا تزال نشطة وتعمل على تطوير نسخ جديدة من “سبارو دور”. يعتبر هذا التهديد تذكيرًا للقطاعات المستهدفة بضرورة تحديث أنظمتها الأمنية بانتظام ومراقبة الأنشطة غير العادية.

هل تعتقد أن الشركات والمؤسسات يجب أن تتخذ إجراءات استباقية أكثر ضد هذه التهديدات المتطورة؟ نرحب بمناقشاتكم وآرائكم في قسم التعليقات.

اكتشف المزيد مع سيبرات

اشترك ليصلك أحدث المنشورات على بريدك الإلكتروني

شاركنا رأيك بتعليق

المقالات الرائجة

اكتشف المزيد مع سيبرات

اشترك الآن للاستمرار في القراءة والحصول على الوصول الكامل إلى الأرشيف

تابع القراءة