MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية

APT41: حملة صينية متقدمة لاختراق أنظمة حكومية إفريقية باستخدام SharePoint وCobalt Strike

هجوم تجسس إلكتروني صيني يستهدف خدمات حكومية في إفريقيا باستخدام SharePoint وأدوات اختراق متقدمة مثل Cobalt Strike.

حملة تجسس إلكتروني صينية تستهدف البنية التحتية الإفريقية
هجوم متقدم مرتبط بمجموعة APT41 على خدمات حكومية في إفريقيا

إعداد: فريق التحرير - قسم الأمن السيبراني | 21 يوليو 2025

كشفت كاسبرسكي عن حملة تجسس إلكتروني تقودها مجموعة APT41 الصينية، استهدفت خدمات تكنولوجيا المعلومات في جهات حكومية داخل القارة الإفريقية، باستخدام خوادم SharePoint داخلية للتواصل والتحكم (C2).

نقاط الهجوم الرئيسية

  • استغلال أسماء وخوادم داخلية مدمجة ضمن البرمجية الخبيثة.
  • استخدام خادم SharePoint ضمن البنية التحتية للضحية كخادم C2.
  • الاعتماد على أدوات معروفة مثل Cobalt Strike وImpacket للتنقل الجانبي ورفع الامتيازات.
  • استغلال حسابات خدمة لتنفيذ الأوامر باستخدام Atexec وWmiExec.

تفاصيل التنفيذ والتسلل

بعد تسلل أولي إلى مضيف غير مراقب، قام المهاجمون بتشغيل أدوات Impacket، وسرعان ما حصدوا بيانات اعتماد حسابات ذات امتيازات عالية، مما سمح لهم بالتحرك أفقيًا داخل الشبكة.

تم بعد ذلك نشر أدوات Cobalt Strike عبر DLLs خبيثة، تتحقق أولًا من حزم اللغة في النظام وتُكمل التنفيذ فقط إذا لم تكن الحزم الصينية أو الكورية أو اليابانية مثبتة، ما يشير إلى تجنب أجهزة المستخدمين المحليين داخل الصين.

آلية الاتصال والتحكم

تم رفع ملفات خبيثة مثل agents.exe وagentx.exe إلى الأجهزة المخترقة عبر بروتوكول SMB، وتعمل هذه الملفات كـ Trojans بلغة C#، تنفذ أوامر من ملف ويب شل باسم CommandHandler.aspx على خادم SharePoint.

كما تم تحميل ملفات HTA تحتوي JavaScript ضار من نطاق مزيّف يشبه GitHub بهدف إنشاء reverse shell يمنح المهاجم تحكمًا مباشرًا.

أدوات استخدمت في الهجوم

  • Pillager: لسرقة بيانات اعتماد من المتصفحات وبرامج قواعد البيانات والدردشات.
  • Checkout: للحصول على بيانات التنزيل وبطاقات الائتمان من متصفحات مثل Chrome، Brave، وYandex.
  • RawCopy: لنسخ ملفات الريجستري الخام.
  • Mimikatz: لاستخراج بيانات اعتماد النظام.
"المهاجمون يستخدمون أدوات عامة ومخصصة مع قدرة عالية على التكيف مع البنية التحتية للضحية." — تقرير كاسبرسكي

تحليل وتوصيات

  • مراقبة خوادم SharePoint بدقة والتحقق من أي ملفات ويب شل مشبوهة.
  • مراجعة الأنظمة غير المراقبة والمهجورة في البنية التحتية.
  • تفعيل سجل التنفيذ PowerShell ومراقبة الاتصالات الصادرة المشبوهة.
  • تحديث أدوات الحماية واستخدام حلول للكشف عن النشاط بعد الاختراق (EDR).

تاريخ التقرير: 21 يوليو 2025