إن قيام مجموعات APT بالتجسس الإلكتروني لتحقيق أهدافهم المالية أمر واحد. لكن الأمر مختلف تمامًا عندما يتم استخدامهم كـ “قراصنة للتأجير” من قبل الشركات الخاصة المتنافسة للتخلص من المعلومات السرية.
اكتشف مختبر Cyber Threat Intelligence Lab التابع لـ Bitdefender مثالاً آخر لهجوم تجسس استهدف شركة دولية غير معروفة للهندسة المعمارية وإنتاج الفيديو والتي كانت تحمل كل السمات المميزة لحملة منظمة بعناية.
قال باحثو Bitdefender في تقرير صدر اليوم: “تسللت مجموعة مجرمي الإنترنت إلى الشركة باستخدام مكون إضافي ملوث ومصمم خصيصًا لـ Autodesk 3ds Max”.
وكشف التحقيق أيضًا أن البنية التحتية للقيادة والتحكم التي تستخدمها مجموعة مجرمي الإنترنت لاختبار حمولتهم الخبيثة مقابل الحل الأمني للمنظمة ، تقع في كوريا الجنوبية.
على الرغم من وجود حالات سابقة لمجموعات مرتزقة APT مثل Dark Basin و Deceptikons (المعروفة أيضًا باسم DeathStalker) التي تستهدف القطاع المالي والقانوني ، إلا أن هذه هي المرة الأولى التي يستخدم فيها ممثل التهديد نفس طريقة العمل في صناعة العقارات.
في الشهر الماضي ، تم العثور على حملة مماثلة – تسمى StrongPity – باستخدام مثبتات برامج ملوثة كقطارة لإدخال باب خلفي لاستخراج المستندات.
وقالت شركة الأمن السيبراني: “من المرجح أن يصبح هذا الوضع الطبيعي الجديد من حيث تسليع مجموعات APT – ليس فقط الجهات الفاعلة التي ترعاها الدولة ، ولكن من قبل أي شخص يسعى للحصول على خدماتهم لتحقيق مكاسب شخصية ، في جميع الصناعات”.
استخدام البرنامج المساعد Autodesk 3ds Max الملوث
في تقرير استشاري نُشر في وقت سابق من هذا الشهر ، حذر Autodesk المستخدمين من أحد أشكال استغلال MAXScript “PhysXPluginMfx” والذي يمكن أن يفسد إعدادات 3ds Max ، ويشغل تعليمات برمجية ضارة ، وينتشر إلى ملفات MAX الأخرى على نظام Windows عند تحميل الملفات المصابة في البرنامج.
ولكن وفقًا لتحليل الطب الشرعي لـ Bitdefender ، احتوت هذه العينة المشفرة MAXScript (“PhysXPluginStl.mse”) على ملف DLL مضمن ، والذي استمر لاحقًا في تنزيل ثنائيات .NET إضافية من خادم القيادة والتحكم بهدف نهائي يتمثل في سرقة المستندات المهمة.
الثنائيات ، بدورها ، مسؤولة عن تنزيل برامج MAXScripts ضارة أخرى قادرة على جمع معلومات حول الجهاز المخترق واستخراج التفاصيل إلى الخادم البعيد ، والذي ينقل حمولة نهائية يمكنها التقاط لقطات الشاشة وجمع كلمات المرور من متصفحات الويب مثل Firefox و Google Chrome و Internet Explorer.
بصرف النظر عن استخدام آلية النوم للاستلقاء تحت الرادار والتهرب من الاكتشاف ، وجد باحثو Bitdefender أيضًا أن مؤلفي البرامج الضارة لديهم مجموعة أدوات كاملة للتجسس على ضحاياها ، بما في ذلك برنامج “HdCrawler” الثنائي ، الذي تتمثل وظيفته في تعداد وتحميل الملفات باستخدام الامتدادات (.webp ، .jpg ، .png ، .zip ، .obb ، .uasset ، وما إلى ذلك) إلى الخادم ، وسارق المعلومات بميزات شاملة.
تتراوح المعلومات التي تم جمعها بواسطة السارق من اسم المستخدم واسم الكمبيوتر وعناوين IP لمحولات الشبكة و Windows ProductName وإصدار .NET Framework والمعالجات (عدد النوى والسرعة والمعلومات الأخرى) وذاكرة الوصول العشوائي (RAM) المجانية المتوفرة وتفاصيل التخزين لأسماء العمليات التي تعمل على النظام والملفات التي تم ضبطها للبدء تلقائيًا بعد التمهيد وقائمة الملفات الحديثة التي تم الوصول إليها.
وجدت بيانات القياس عن بُعد الخاصة بـ Bitdefender أيضًا عينات برامج ضارة أخرى مماثلة تتواصل مع نفس خادم القيادة والتحكم ، والتي يعود تاريخها إلى أقل من شهر بقليل ، مما يشير إلى أن المجموعة تستهدف ضحايا آخرين.
يوصى بأن يقوم مستخدمو 3ds Max بتنزيل أحدث إصدار من Security Tools لـ Autodesk 3ds Max 2021-2015SP1 لتحديد وإزالة البرامج الضارة PhysXPluginMfx MAXScript.
وقال الباحثون: “يكشف تعقيد الهجوم عن مجموعة على غرار APT لديها معرفة مسبقة بأنظمة أمان الشركة وتطبيقات البرامج المستخدمة ، وتخطط بعناية لهجومها للتسلل إلى الشركة واستخراج البيانات التي لم يتم اكتشافها”.
“التجسس الصناعي ليس بالأمر الجديد ، وبما أن صناعة العقارات ذات قدرة تنافسية عالية ، بعقود تقدر بمليارات الدولارات ، فإن المخاطر كبيرة للفوز بعقود لمشاريع فاخرة ويمكن أن تبرر اللجوء إلى مجموعات مرتزقة APT لاكتساب ميزة التفاوض. “
