كشفت حملة تجسس إلكتروني متطورة تستهدف جهات حكومية في جنوب شرق آسيا واليابان عن تهديد سيبراني جديد متحالف مع الصين، يطلق عليه اسم LongNosedGoblin. تنشط هذه المجموعة منذ سبتمبر 2023 على الأقل، وتتميز باستخدام مجموعة أدوات متنوعة من برمجيات خبيثة مخصصة مكتوبة بلغة C#/.NET.
تركز عمليات المجموعة بشكل أساسي على جمع المعلومات الاستخبارية، مع استخدام تقنيات خفية للتسلل إلى الشبكات الحساسة والحفاظ على وصول طويل الأمد دون اكتشاف. يبرز التكتيك الأكثر أهمية لهذه المجموعة في استغلال سياسات مجموعة Windows (Windows Group Policy) للتنقل الجانبي ونشر البرمجيات الخبيثة.
من خلال اختراق البنية التحتية لـ Active Directory، يقوم المهاجمون بتوزيع حمولات خبيثة عبر الأجهزة المتصلة بالشبكة، مما يسمح لهم بتجاوز الدفاعات المحيطية التقليدية بفعالية. تتيح هذه الطريقة للمجموعة نشر أدوات مثل NosyHistorian، التي تقوم بجمع سجلات المتصفح لتحديد الأهداف ذات القيمة العالية لمزيد من الاستغلال للأصول الحيوية.
استغلال سياسات مجموعة Windows بواسطة LongNosedGoblin
حدد محللو Welivesecurity البرمجية الخبيثة في أوائل عام 2024 ضمن شبكة حكومية في جنوب شرق آسيا، حيث تم اختراق أجهزة متعددة في وقت واحد عبر تحديثات سياسات المجموعة. كشفت التحقيقات أن المهاجمين قاموا بإخفاء برمجياتهم الخبيثة كملفات سياسات شرعية، مثل History.ini أو Registry.pol، للاندماج في مجلدات ذاكرة التخزين المؤقت لسياسات المجموعة.
يسلط هذا التمويه الاستراتيجي الضوء على تركيز المجموعة على التهرب والاستمرارية داخل البيئات المخترقة. إن تقنية استخدام سياسات مجموعة Windows للنشر هي إحدى أبرز الأدوات التي تستخدمها هذه المجموعة.
آلية تنفيذ NosyDoor
تجسد البرمجية الخبيثة الرئيسية للمجموعة، NosyDoor، اعتمادهم على تقنيات Living-off-the-land والبنية التحتية للقيادة والتحكم المستندة إلى السحابة. تعمل البرمجية الخبيثة من خلال سلسلة تنفيذ معقدة من ثلاث مراحل، مصممة لتجنب الكشف من قبل منتجات الأمان القياسية.
تبدأ العدوى بمكون إسقاط (dropper) يقوم بفك تشفير الحمولات المضمنة باستخدام Data Encryption Standard (DES) مع المفتاح UevAppMo. يستخدم برنامج الإسقاط أوامر تنفيذ لحماية البرنامج، لضمان أن البرمجية الخبيثة لا تنفجر إلا على أجهزة الضحايا المحددة.
بمجرد التحقق، فإنه ينشئ استمرارية عن طريق إنشاء مهمة مجدولة تقوم بتنفيذ ثنائي Windows شرعي، UevAppMonitor.exe، والذي تنسخه البرمجية الخبيثة من System32 إلى دليل .NET framework. يكمن جوهر استراتيجية التهرب في حقن AppDomainManager. يقوم المهاجمون بتعديل تكوين الملف التنفيذي الشرعي لتحميل DLL خبيث.
يوجه ملف التكوين هذا التطبيق إلى تهيئة نطاق مخصص من SharedReg.dll. تقوم هذه DLL بتجاوز واجهة فحص البرامج الضارة (AMSI) وفك تشفير الحمولة النهائية لـ NosyDoor. بعد ذلك، تقوم البرمجية الخبيثة باسترداد تكوينها، وتبدأ الاتصال بـ Microsoft OneDrive باستخدام بيانات وصفية مشفرة بـ RSA لاستقبال الأوامر المخزنة في ملفات المهام.