حمله هکرهای چینی با استفاده از درهای پشتی جدید

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، از اوایل سال 2022، این گروه که توسط محققین، ارث کراهنگ (Earth Krahang) نامگذاری شده است، به حداقل 70 قربانی در 23 کشور حمله کرده است و تمرکز اصلی آن بر آسیای جنوب شرقی بوده است.

به گفته تحلیلگران شرکت امنیت سایبری ترند میکرو (Trend Micro)، برخی از اهداف این گروه نیز در اروپا، آمریکا و آفریقا قرار دارند.

به نظر می رسد ارث کراهنگ با یکی دیگر از گروه های تهدید دائمی پیشرفته (APT) تحت حمایت چین مرتبط باشد که با نام ارث لوسکا (Earth Lusca) یا رد هتل (RedHotel) شناخته می شود و به خاطر کمپین های جاسوسی خود علیه دولت و موسسات آموزشی، جنبش های مذهبی، و سازمان های طرفدار دموکراسی و حقوق بشر در هنگ کنگ، و همچنین سازمان های تحقیقاتی کووید-19، شهرت دارد.

محققان گمان می‌کنند که هر دوی این گروه‌ها با یک شرکت امنیتی چینی به نام آی-سون (I-Soon) مرتبط باشند که اخیراً اطلاعات آن در مخزن گیتهاب (GitHub) به بیرون درز کرده است.

مدیر عامل این شرکت، وو هایبو، یکی از اعضای اولین گروه هکری چین و یک هکر معروف است.

طبق گفته شرکت ترند میکرو، ارث لوسکا و ارث کراهنگ می توانند دو تیم نفوذ مرتبط با آی-سون باشند.

بر اساس این گزارش، این گروه ها به طور مستقل عمل می کنند و از زیرساخت های جداگانه و درهای پشتی منحصر به فرد استفاده می کنند، اما طیف مشابهی از قربانیان را هدف قرار می دهند.

به گفته محققان، نکته قابل توجه در مورد ارث کراهنگ این است که سازمان های دولتی را برای حمله به سایر نهادهای دولتی، سوء استفاده از اعتماد بین آنها و فرار از شناسایی، به خطر می اندازد.

به عنوان مثال، این گروه از زیرساخت‌های دولتی برای میزبانی داده های مخرب، هدایت ترافیک حملات پراکسی و ارسال ایمیل‌های فیشینگ نیزه ای یا اسپیرفیشینگ (spearphishing) به اهداف مرتبط با دولت با استفاده از حساب‌های ایمیل دولتی در معرض خطر، سوء استفاده می‌کند.

برخی از موضوعات ایمیل فیشینگ مورد استفاده توسط این گروه عبارتند از: "بازدید وزیر دفاع مالزی از مجارستان"، "جلسه عمومی دادگاه بین المللی دادگستری گویان در مقابل ونزوئلا" و " نکات تکمیلی پیشنهاد تدارکات گویان برای تایوان".

محققان دریافته اند که این گروه صدها آدرس ایمیل را از اهداف در مرحله شناسایی بازیابی می کند.

در یک مورد، این عامل مخرب از یک صندوق پستی در معرض خطر از یک نهاد دولتی برای ارسال یک پیوست مخرب به 796 آدرس ایمیل متعلق به همان نهاد استفاده کرده است.

این احتمال وجود دارد که عامل مد نظر، با استفاده از ابزارهای هکری خود، اعتبار ضعیف صندوق پستی در معرض خطر را کشف کرده باشد.

در حملات بروت فورس (brute-force)، هکرها با آزمایش هر ترکیب ممکن از کاراکترها تا زمانی که پاسخ صحیح پیدا شود، دسترسی غیرمجاز به یک سیستم را پیدا می‌کنند.

محققان همچنین مشاهده کردند که ارث کراهنگ سرورهای وی پی ان (VPN) را بر روی سرورهای در معرض خطر اینترنت برای دسترسی به شبکه های خصوصی قربانیان و انجام حملات بروت فورس برای به دست آوردن اعتبار نامه ایمیل، راه اندازی می کند.

اعتبار به دست آمده از طریق این حملات سپس برای استخراج ایمیل های قربانیان مورد استفاده قرار خواهد گرفت.

این گروه همچنین اسکن آسیب‌پذیری‌ها را برای کشف نقاط ضعفی انجام می‌دهد که به آن اجازه می‌دهد پوسته‌های وب را مستقر کند و درهای پشتی را نصب کند.

هکرها از باگ معروف به CVE-2023-32315 در نرم‌افزار سرور اوپن فایر (Openfire) و آسیب‌پذیری دیگری به نام CVE-2022-21587 در یکپارچه ساز دسکتاپ برنامه های کاربردی وب اوراکل (Oracle Web Applications Desktop Integrator) سوء استفاده کرده اند.

در طول تجزیه و تحلیل، محققان دریافتند که این گروه از دو درب پشتی سفارشی ریشل (Reshell) و ایکس دیلر (XDealer) در مراحل اولیه حملات استفاده کرده است.

این دربهای پشتی یا از طریق ایمیل های فیشینگ ارسال می شدند یا از طریق پوسته های وب روی سرورهای در معرض خطر مستقر می شدند.

ریشل یک درب پشتی ساده است که می تواند اطلاعات را جمع آوری کند، فایل ها را رها کند یا دستورات سیستم را اجرا کند.

ایکس دیلر نیز یک ابزار پیچیده تر است که می تواند در هر دو سیستم ویندوز و لینوکس استفاده شود.

به گفته محققان، این ابزار ممکن است از سال 2023 در شبکه استفاده شده باشد و هنوز نیز در حال توسعه فعال است.

در مجموع، محققان توانستند 116 قربانی را که توسط این گروه هدف قرار گرفته بودند، شناسایی کنند، از جمله 70 قربانی که تایید کردند در معرض خطر قرار گرفته اند.

وزارتخانه ها و ادارات امور خارجه اهداف اصلی این گروه بودند.

سایر قربانیان شامل ارائه دهندگان مخابرات، دفاتر پست، پلتفرم های لجستیک و خدمات شغلی هستند.