شهدت مؤخراً أوساط الأمن السيبراني جدلاً متزايداً حول نشاط مجموعة التهديد المتقدم xHunt، حيث تتهم هذه المجموعة بشن حملات تجسس إلكتروني موجهة ضد مؤسسات في الكويت، مع التركيز بشكل خاص على القطاعات الحكومية والشحن والنقل.
منذ ظهورها في عام 2018، أظهرت المجموعة مستوى عالٍ من التطور التقني، مستخدمةً مجموعة أدوات مخصصة ومتغيرة باستمرار، والتي غالباً ما تحمل أسماء مستوحاة من سلسلة الأنمي اليابانية “Hunter x Hunter”.
هجمات xHunt المتقدمة على خوادم Microsoft Exchange و IIS
تتميز عمليات مجموعة xHunt باستخدام طرق وصول متنوعة، وغالباً ما تبدأ بهجمات “سقاية” استراتيجية أو اختراق مباشر لخوادم Microsoft Exchange و IIS المواجهة للويب. من أبرز التقنيات التي تتبعها المجموعة، حقن علامات HTML مخفية في مواقع حكومية مخترقة، مما يؤدي إلى إعادة توجيه الزوار إلى خوادم يتحكم بها المهاجمون لجمع تجزئات NTLM.
تتيح هذه الطريقة لجمع بيانات الاعتماد بشكل سلبي للمهاجمين الدخول غير المصرح به دون كشف فوري. تُستخدم البيانات المجمعة لاختراق أنظمة أخرى داخل الشبكة.
وقد كشف محللون من شركة Picus Security عن هذه البرمجيات الخبيثة بعد ملاحظة هذه السلوكيات المميزة، مشيرين إلى قدرة المجموعة على الاندماج في حركة مرور الشبكة الشرعية. تسمح أدوات مثل webshell “BumbleBee” وأبواب خلفية تعتمد على PowerShell مثل “TriFive” و “Snugy” للمهاجمين بتنفيذ أوامر عشوائية.
من خلال الاستفادة من خدمات الويب الخاصة بـ Exchange للتحكم والقيادة، يتواصل المهاجمون عبر مسودات رسائل البريد الإلكتروني داخل مجلد العناصر المحذوفة، مما يزيد من تعقيد جهود الكشف.
آليات الثبات وتجنب الدفاع
بالإضافة إلى ذلك، تعتمد مجموعة xHunt بشكل كبير على المهام المجدولة لضمان ثبات أبوابها الخلفية التي تعتمد على PowerShell. بمجرد اختراق النظام، يقوم المهاجمون بإنشاء مهام تنفذ برامج نصية خبيثة على فترات زمنية محددة.
تُصمم هذه المهام بدقة لتجنب الكشف، حيث يتم تقليد العمليات الشرعية لنظام Windows ووضع الملفات في أدلة موثوقة. على سبيل المثال، تستخدم المجموعة أوامر محددة لجدولة حمولاتها الخبيثة، مما يجعل اكتشافها أكثر صعوبة.
علاوة على ذلك، ي employs actors of xHunt techniques of masquerading, such as placing tasks in the Windows Diagnostic Infrastructure directory and naming them ResolutionHosts to resemble legitimate system files. These evasion tactics, combined with their use of SSH tunnels for lateral movement, make xHunt a resilient and elusive threat that requires comprehensive behavioral monitoring to detect effectively.
ينعكس التأثير العميق لهذه الاختراقات في نشر المجموعة لمجموعة من الأبواب الخلفية المخصصة للحفاظ على الوصول طويل الأمد. هذه الأساليب، جنبًا إلى جنب مع استخدام أنفاق SSH للحركة الجانبية، تجعل مجموعة xHunt تهديدًا مرنًا ومراوغًا يتطلب مراقبة سلوكية شاملة للكشف الفعال عنه.