كشفت شركة "تريند مايكرو" (Trend Micro) عن أن مجموعة تهديد متقدمة مرتبطة بالصين تُعرف باسم Earth Estries تستخدم برمجية خلفية جديدة، غير موثقة سابقًا، تُدعى GHOSTSPIDER.
بحسب"techlabari" تستهدف هذه الهجمات شركات الاتصالات في جنوب شرق آسيا، كما تضمنت استخدام برمجية خلفية أخرى تُعرف باسم MASOL RAT تعمل عبر منصات متعددة، خاصة على أنظمة "لينكس" في شبكات حكومية بالمنطقة.
نطاق الأهداف والتأثير
تمكنت Earth Estries من اختراق أكثر من 20 جهة شملت قطاعات الاتصالات، التكنولوجيا، الاستشارات، الكيماويات، النقل، بالإضافة إلى وكالات حكومية ومنظمات غير ربحية. وتم رصد الضحايا في أكثر من 12 دولة منها:
آسيويًا: إندونيسيا، ماليزيا، الفلبين، تايوان، تايلاند، وفيتنام.
دوليًا: الولايات المتحدة، جنوب أفريقيا، البرازيل، وأفغانستان.
أنشطة موجهة منذ عام 2020
بحسب ما أفاد التقرير، تمتلك المجموعة نشاطات مشابهة لمجموعات معروفة مثل FamousSparrow وGhostEmperor.
وتُعد نشطة منذ 2020، حيث اعتمدت على مجموعة متنوعة من البرامج الضارة لاختراق كيانات الاتصالات والحكومات في آسيا والمحيط الهادئ والشرق الأوسط وجنوب أفريقيا.
أساليب الاختراق والأدوات الضارة
تعتمد Earth Estries على استغلال ثغرات أمنية معروفة في أنظمة مثل:
Ivanti Connect Secure: (CVE-2023-46805 وCVE-2024-21887).
Sophos Firewall: (CVE-2022-3236).
Microsoft Exchange Server: سلسلة ثغرات ProxyLogon.
وبعد الاختراق، يتم نشر أدوات مخصصة مثل Deed RAT وDemodex وGHOSTSPIDER، مما يمكّن المجموعة من تنفيذ أنشطة تجسس طويلة المدى.
وتشمل برامجها الضارة الأخرى: Crowdoor, SparrowDoor, HemiGate, TrillClient, Zingdoor.
تعقيد العمليات وأسلوب العمل
وفقًا للباحثين الأمنيين فأن Earth Estries هي مجموعة منظمة بدقة، حيث يتم تقسيم العمل بين فرق متعددة تتخصص في مناطق مختلفة.
تُظهر البنية التحتية للقيادة والتحكم المستخدمة تنوعًا في الإدارة، مما يعكس مدى تعقيد عمليات المجموعة.
التحديات الأمنية ومخاطر الاتصالات
تُعد شركات الاتصالات هدفًا رئيسيًا لتهديدات مماثلة من مجموعات صينية أخرى مثل Granite Typhoon وLiminal Panda.
وأكدت CrowdStrike أن هذه الهجمات تشير إلى تطور كبير في البرنامج السيبراني الصيني، حيث تحولت الهجمات من عمليات منفصلة إلى جمع بيانات ضخمة واستهداف طويل الأمد لمقدمي الخدمات.
