دراسة: حملة هجمات إلكترونية جديدة تستهدف خدمة إدارة كلمات المرور
كشفت دراسة حديثة الصادرة عن "بالو ألتو نتوركس العالمية"، اليوم، تفاصيل عن حملة هجمات إلكترونية جديدة، تستهدف خدمة خاصة بإدارة كلمات المرور.
وتعود بداية هذه الهجمات إلى تاريخ 16 سبتمبر 2021، حيث أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية تحذيراً حول قيام جهات مسؤولة عن تهديدات إلكترونية متقدمة باستغلال نقاط الضعف التي تم رصدها مؤخراً في الخدمة المعروفة باسم ManageEngine ADSelfService Plus، وهي عبارة عن خدمة ذاتية لإدارة كلمات المرور وتسجيل الدخول.
وأوضح التحذير أن الجهات المسؤولة عن الهجمات قامت بنشر برمجية الباب الخلفي الخبيثة من نوع Webshell وتقنيات أخرى هدفها إحكام السيطرة على البيئة الإلكترونية للجهات المستهدفة.
وفي الأيام التي تلت هذه الهجمات، لاحظت شركة بالو ألتو نتوركس حملة هجمات أخرى غير متصلة أدت إلى عمليات استهداف ناجحة لذات الثغرات الأمنية المذكورة آنفاً.
وبتاريخ 17 سبتمبر، استفادت الجهات المنفذة لهذه الهجمات من البنية التحتية المؤجرة في الولايات المتحدة لكشف مئات المؤسسات التي تعاني من نقاط ضعف على شبكة الإنترنت، وبدأت بعد ذلك بمحاولات استغلال هذه النقاط بتاريخ 22 سبتمبر ومن المحتمل أن تكون هذه المحاولات قد استمرت حتى أوائل شهر أكتوبر.
ونجحت الجهات القائمة على هذه الهجمات خلال تلك الفترة في اختراق 9 مؤسسات عالمية على أقل تقدير متخصصة في مجالات التكنولوجيا والدفاع والرعاية الصحية والطاقة والتعليم.
بعد قيامها بعمليات استغلال أولية، حملت الجهات المنفذة للهجمات حمولة خبيثة على شبكة ضحاياها هدفها تثبيت برمجية الباب الخلفي Godzilla.
وطبقت الجهات المنفذة هذا النوع من الهجمات بشكل متسق على كافة الضحايا من المؤسسات، لكن مع ذلك، لاحظنا تلقي مجموعة فرعية أصغر من المؤسسات المخترقة لنسخة معدلة وجديدة من برمجية الباب الخلفي الخبيثة تُعرف باسم NGLite.
استخدم المهاجمون بعد ذلك؛ إما حمولة البرمجية الخبيثة Godzilla أو برمجية NGLite لتشغيل الأوامر أو الانتقال إلى أنظمة أخرى على الشبكات المستهدفة، بالإضافة إلى قيامهم بتسريب الملفات الهامة عن طريق تنزيلها من خادم الويب ببساطة وبمجرد دخول المهاجمين إلى وحدة التحكم الرئيسية بالنطاقات، قاموا بتثبيت أداة جديدة لسرقة بيانات الاعتماد، والتي نقوم بتتبعها تحت اسم KdcSponge.
وتطوير كل من أداتي Godzilla و NGLite بتعليمات من جهات صينية، وهما متاحتان للتنزيل من موقع شركة GitHub وتعتقد بالو ألتو نتوركس بأن الجهات القائمة على هذه التهديدات استخدمت هذه الأدوات بشكل متكرر للحفاظ على وصول طويل المدى إلى الشبكات ذات الأهمية الكبيرة.
وأداة Godzilla عبارة عن برمجية باب خلفي خبيثة من نوع webshell غنية بالخصائص والوظائف، وهي تقوم بتوزيع الطلبات الواردة على بروتوكول HTTP، وفك تشفير البيانات من خلال مفتاح سري، والاستفادة من المحتوى المشفر لاستخدام وظائف إضافية واستعادة النتائج من خلال بروتوكول HTTP يتيح ذلك للمهاجمين الاحتفاظ بالرمز المشفر، والذي من المحتمل اكتشافه على أنه برمجية ضارة، خارج النظام المستهدف حتى يكونوا على استعداد لتفعيل هذا الرمز وتنفيذ هجومهم.