بازیگران دولتی ناشناس در خاورمیانه و مالزی از ژوئن 2023 هدف کمپین سایبری مداومی بوده اند که توسط یک بازیگر تهدید به نام Tropic Trooper اجرا می شود.
شریف مگدی، محقق امنیتی کسپرسکی گفت: “نظارت بر این گروه (تاکتیک ها، تکنیک ها و رویه ها) در نهادهای مهم دولتی در خاورمیانه، به ویژه آنهایی که با مطالعات حقوق بشر مرتبط هستند، یک گام استراتژیک جدید برای آنها است.
این شرکت امنیت سایبری روسی گفت که این فعالیت را در ژوئن 2024 کشف کرد، زمانی که نسخه جدیدی از پوسته وب China Chopper، ابزاری که توسط چندین بازیگر چینی زبان برای دسترسی از راه دور به سرورهای در معرض خطر به اشتراک گذاشته شده بود، در یک وب سرور عمومی که محتوای منبع باز میزبانی می کرد، کشف شد. سیستم مدیریت (CMS) Umbraco نامیده می شود.
زنجیره حمله برای ارائه بدافزاری به نام Crowdoor، گونهای از درپشتی SparrowDoor که ESET در سپتامبر 2021 مستندسازی کرد، طراحی شد. تلاشها در نهایت ناموفق بودند.
گروه Tropic Trooper که با نامهای APT23، Earth Centaur، KeyBoy و Pirate Panda نیز شناخته میشود، به دلیل هدف قرار دادن صنایع دولتی، مراقبتهای بهداشتی، حملونقل و فناوری پیشرفته در تایوان، هنگ کنگ و فیلیپین شناخته شده است. این گروه چینی زبان از سال 2011 فعال ارزیابی شده است و روابط نزدیکی با گروه هکر دیگری که به نام FamousSparrow دنبال می شود، دارد.
جدیدترین هک که توسط کسپرسکی برجسته شده است، شامل کامپایل شدن رابط وب China Chopper به عنوان یک فرم دات نت از Umbraco CMS بود که با بهره برداری بعدی منجر به استقرار ابزارهایی برای کاوش در شبکه، حرکت جانبی و فرار از دفاع شد، قبل از راه اندازی Crowdoor با استفاده از بارگذاری جانبی DLL. تکنیک ها
گمان می رود که رابط های وب با سوء استفاده از آسیب پذیری های شناخته شده در برنامه های کاربردی وب در دسترس عموم، مانند Adobe ColdFusion (CVE-2023-26360) و Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523, CVE-2) ارائه شوند. 2021-26360).
Crowdoor که برای اولین بار در ژوئن 2023 مشاهده شد، همچنین به عنوان یک لودر برای حذف Cobalt Strike و حفظ پایداری روی میزبان های آلوده عمل می کند، در حالی که به عنوان یک درب پشتی برای جمع آوری اطلاعات حساس، راه اندازی پوسته معکوس، پاک کردن سایر فایل های بدافزار و خاتمه خود عمل می کند. .
مگدی خاطرنشان کرد: “وقتی بازیگران متوجه شدند که درب پشتی آنها کشف شده است، سعی کردند نمونه های جدیدتری را برای فرار از تشخیص آپلود کنند، بنابراین خطر کشف نمونه های جدید آنها در آینده نزدیک افزایش می یابد.”
اهمیت این هک در دیدن یک نهاد چینی زبان است که یک پلتفرم مدیریت محتوا را هدف قرار می دهد که مطالعاتی در مورد حقوق بشر در خاورمیانه منتشر می کند، با تمرکز ویژه بر وضعیت درگیری بین اسرائیل و حماس.
“تحلیل ما از این نقض نشان داد که کل سیستم تنها هدف در طول حمله بود، که نشان دهنده تمرکز عمدی بر این محتوای خاص است.”
منبع: https://thehackernews.com/2024/09/chinese-speaking-hacker-group-targets.html