حقائق سريعة

• قامت مجموعة APT24، التي تتخذ من الصين مقراً لها، بحملة تجسس إلكتروني استمرت ثلاث سنوات ضد تايوان باستخدام برمجية BadAudio.
• استولى المهاجمون على أكثر من 20 موقعاً عاماً شرعياً، وحقنوا شيفرة خبيثة لإصابة مستخدمي ويندوز.
• تعمل BadAudio كأداة تنزيل خفية، حيث توصل حمولات مشفرة وتؤسس وصولاً دائماً إلى شبكات الضحايا.
• في يوليو 2024، أدت هجمة على سلسلة التوريد إلى اختراق شركة تسويق رقمي تايوانية، مما أثر على أكثر من 1000 نطاق.
• شملت التقنيات نوافذ تحديث مزيفة، وتسجيل نطاقات بأخطاء إملائية، وسكريبتات مشفرة، واستهداف أنظمة تشغيل ومتصفحات محددة فقط.

وجه جديد للتجسس الرقمي

تخيل أنك تتصفح موقعك المفضل، لتكتشف أن خلف واجهته المألوفة يوجد فخ خفي. هذه هي الحقيقة التي تواجهها المؤسسات في تايوان، حيث حولت سلسلة من الهجمات السيبرانية التي نظمتها مجموعة APT24 الشهيرة المساحات الإلكترونية الموثوقة إلى منصات إطلاق صامتة للتجسس. ووفقاً لمجموعة استخبارات التهديدات في جوجل، تمثل هذه الهجمات، المدعومة ببرمجية BadAudio المصممة خصيصاً، تطوراً دراماتيكياً في تكتيكات المجموعة - حيث تمزج بين التعقيد التقني ودقة النشال في سوق مزدحم.

كيف جرت الهجمات

بدأت استراتيجية APT24 بهجمات "حفرة الماء": حيث اخترقوا أكثر من 20 موقعاً شرعياً عبر قطاعات مختلفة، وحقنوا جافاسكريبت مفخخاً يستهدف مستخدمي ويندوز تحديداً ويستثني أنظمة مثل ماك أو أندرويد. وباستخدام أداة لبصمة المتصفح، حدد المهاجمون الضحايا المناسبين وأغروهم بنوافذ منبثقة مزيفة تظهر كتحديثات برمجية روتينية. من نقر على هذه النوافذ قام دون علمه بتثبيت BadAudio، أداة تنزيل ماكرة تؤسس موطئ قدم سري في الشبكات وتجلب أدوات مشفرة إضافية - أبرزها نسخ من Cobalt Strike Beacon الشهير، والذي يُستخدم كثيراً في حملات الاختراق المتقدمة.

حيل البرمجية التقنية معقدة كفن الأوريغامي. يتم إخفاء BadAudio داخل ملفات DLL في ويندوز، مستغلة ثغرة تُعرف باسم "اختطاف ترتيب البحث عن DLL" لتجاوز الدفاعات. الإصدارات الأحدث غلفت هذه الملفات في أرشيفات مشفرة، مع سكريبتات تؤتمت العدوى وتخفي آثار البرمجية، مما يصعب اكتشافها على المدافعين.

سلاسل التوريد والهندسة الاجتماعية: تصعيد المخاطر

بحلول يوليو 2024، وسعت APT24 نطاق عملياتها، فاخترقت شركة تسويق رقمي تايوانية ومن خلالها أصابت أكثر من 1000 نطاق لعملاء - في هجوم كلاسيكي على سلسلة التوريد. هنا، حقن المهاجمون شيفرة خبيثة في مكتبات جافاسكريبت واسعة الاستخدام، بل وأنشأوا نطاقات شبيهة (بتغيير حرف أو خطأ إملائي) لتقليد مزودي محتوى موثوقين. وفي خطوة أكثر دهاءً، أدرجوا برمجية خبيثة مشفرة داخل ملفات JSON - وهي حركة نادرة وذكية - وأرسلوا بيانات الاستطلاع في رسائل سرية مشفرة بطريقة base64.

رافق هذه الإنجازات التقنية خدع تقليدية: رسائل تصيد إلكتروني متنكرة كنداءات لإنقاذ الحيوانات، مع روابط لبرمجيات خبيثة مشفرة مستضافة على منصات مثل Google Drive. هذا المزيج من الأساليب التقنية والنفسية يظهر خصماً يتقن التلاعب بالشيفرة كما يتقن التلاعب بالثقة البشرية.

الدلالات والصورة الأكبر

حملة APT24 جزء من نمط أوسع من التجسس الإلكتروني المرتبط بالصين ويستهدف تايوان، ويشبه حوادث سابقة مثل هجمات ShadowPad وعملية Skeleton Key. وتُظهر أساليبهم المتطورة - من هجمات حفرة الماء إلى اختراق سلاسل التوريد - اتجاهات عالمية في الاختراقات المدعومة من الدول، حيث تتلاشى الحدود بين الدوافع الإجرامية والجيوسياسية. ومع تصاعد التوترات الدولية، تهدد مثل هذه الهجمات ليس فقط المؤسسات الفردية بل البنية التحتية للثقة على الإنترنت نفسها.

استجابت جوجل وشركاؤها بقوائم حظر وإشعارات للضحايا، لكن سباق التسلح مستمر. قصة BadAudio بمثابة تحذير: في عالم اليوم الرقمي، حتى أكثر المواقع ألفة قد يخفي عدواً خفياً، واليقظة مسؤولية الجميع.

ويكي كروك

• التهديد المستمر المتقدم (APT): التهديد المستمر المتقدم هو هجوم إلكتروني طويل الأمد ومستهدف من قبل مجموعات ماهرة غالباً ما تكون مدعومة من دول، بهدف سرقة البيانات أو تعطيل العمليات.
• هجوم حفرة الماء: هجوم حفرة الماء هو عندما يخترق القراصنة مواقع إلكترونية موثوقة لاستهداف مستخدمين محددين، وينشرون البرمجيات الخبيثة للزوار دون علمهم.
• اختطاف ترتيب البحث عن DLL: اختطاف ترتيب البحث عن DLL هو عندما تخدع البرمجيات الخبيثة تطبيقات ويندوز لتحميل ملف DLL مزيف، مما يسمح للمهاجمين بتشغيل شيفرة خبيثة تحت برامج موثوقة.
• هجوم سلسلة التوريد: هجوم سلسلة التوريد هو هجوم إلكتروني يستهدف مزودي البرمجيات أو الأجهزة الموثوقين، وينشر البرمجيات الخبيثة أو الثغرات إلى العديد من المؤسسات دفعة واحدة.
• التعتيم: التعتيم هو ممارسة إخفاء الشيفرة أو البيانات لجعل فهمها أو تحليلها أو اكتشافها صعباً على البشر أو أدوات الأمن.