برزت مجموعة تهديد سيبراني جديدة، تحمل اسم WARP PANDA، وهي تستهدف البنية التحتية الحيوية في الولايات المتحدة، مما يثير قلقاً متزايداً في قطاع الأمن السيبراني.
تُظهر هذه المجموعة قدرات تقنية متقدمة في اختراق بيئات VMware vCenter، التي تديرها مؤسسات في قطاعات قانونية وتكنولوجية وصناعية. ويشير ظهور هذه المجموعة إلى تصعيد في الهجمات السيبرانية المعتمدة على السحابة، مع تركيز خاص على تأمين وصول طويل الأمد إلى الشبكات والبيانات الحساسة.
WARP PANDA: تهديد سيبراني جديد يستغل بيئات VMware vCenter
تُعرف WARP PANDA بأنها مجموعة تهديد سيبراني ذات قدرات متطورة، وقد تم الكشف عن أنشطتها من قبل باحثي CrowdStrike. تظهر الأدلة أن بعض الاختراقات تعود إلى أواخر عام 2023، مما يشير إلى عملية هجوم منظمة وواسعة النطاق.
تتمحور حملات WARP PANDA حول استغلال نقاط الضعف في بيئات VMware vCenter. تستخدم المجموعة تكتيكات متقدمة للوصول إلى هذه البيئات، سواء من خلال استغلال ثغرات معروفة أو استخدام بيانات اعتماد مسروقة.
آليات التسلل والتكتيكات
يَكشف تحليل خبراء الأمن أن WARP PANDA تستخدم مجموعة أدوات متكاملة تضم برمجيات خبيثة وأدوات وصول عن بعد. وتشمل هذه الأدوات برمجية BRICKSTORM الخبيثة، وقشور الويب (Web Shells) من نوع JSP، بالإضافة إلى أدوات جديدة وغير معروفةpreviously تُعرف باسم Junction وGuestConduit.
تُستخدم برمجية BRICKSTORM كبوابة خلفية رئيسية للمجموعة. وهي مكتوبة بلغة Golang وتتخفى كعمليات vCenter شرعية، مما يصعب اكتشافها. تتواصل هذه البرمجية مع خوادم القيادة والتحكم عبر اتصالات WebSocket مشفرة باستخدام TLS، مع استخدام تقنيات تمويه متطورة لتفادي الكشف على مستوى الشبكة.
آليات الثبات واكتساب الوصول
تُظهر تكتيكات WARP PANDA في الحفاظ على الثبات داخل الشبكات المخترقة ممارسات أمنية تشغيلية متقدمة. تستغل المجموعة ثغرات أمنية معروفة في أنظمة VPN مثل Ivanti Connect Secure وIvanti Policy Secure، بالإضافة إلى نقاط ضعف في أجهزة F5 BIG-IP. كما تم الإشارة إلى استغلال ثغرات محددة في VMware vCenter، مثل CVE-2024-38812 وCVE-2023-34048 وCVE-2021-22005.
يُعد استغلال ثغرات مثل CVE-2024-21887 وCVE-2023-46805 في VPN الخاص بـ Ivanti، والتي تسمح بتجاوز المصادقة وتنفيذ الأوامر عن بعد، أحد المسارات الرئيسية التي تسلكها المجموعة. وتُمكن هذه الثغرات WARP PANDA من الحصول على موطئ قدم أولي داخل شبكات الضحايا.
أساليب التغطية والتخفي
للتغطية على آثارها، تقوم المجموعة بمسح السجلات وتغيير طوابع وقت الملفات. كما تقوم بإنشاء آلات افتراضية خبيثة غير مسجلة، والتي يتم إيقاف تشغيلها بعد الاستخدام. وتستخدم WARP PANDA أيضاً تقنية تمرير حركة المرور عبر الأنظمة المخترقة، لتمويه الاتصالات الخبيثة ضمن حركة مرور الشبكة الشرعية.
تتعاون أدوات Junction وGuestConduit معاً. تستمع Junction على المنفذ 8090 للتواصل مع الآلات الافتراضية الضيفة عبر اتصالات VM sockets، بينما تسهل GuestConduit تمرير حركة مرور الشبكة داخل الآلات الافتراضية، مما يعزز قدرتها على البقاء والتخفي.