كشفت تقارير أمنية حديثة عن تصعيد في وتيرة حملات التجسس التي يشنها مجموعة APT36، المعروفة أيضاً باسم Transparent Tribe، ضد أهداف دفاعية وحكومية في الهند. تستخدم المجموعة أدوات برمجية خبيثة متعددة المنصات، بما في ذلك أدوات جديدة لأنظمة لينكس، لتعزيز قدراتها على اختراق الأنظمة وسرقة البيانات.
وقد رصدت مختبرات أريا لأبحاث التهديدات (Aryaka Threat Research Labs) موجة جديدة من الهجمات، مشيرة إلى استخدام آليات متطورة لضمان استمرارية الوصول والتخفي. وتعتمد المجموعة، إلى جانب جهات مرتبطة بها مثل SideCopy، على رسائل التصيد الاحتيالي التي تحتوي على ملفات خبيثة بصيغ LNK و HTA و ELF، بالإضافة إلى ملفات PPAM، بهدف اختراق كل من أنظمة ويندوز ولينكس.
APT36 وتوسيع نطاق هجماتها على أنظمة لينكس
خلال الشهر الماضي، استهدفت حملات مجموعة APT36 قطاعات استراتيجية في الهند، مستغلة نطاقات هندية موثوقة مثل innlive.in لاستضافة حمولات الهجوم. تتطور هذه الهجمات باستمرار، حيث تشمل تقنيات التنفيذ في الذاكرة (memory execution)، والتواصل المشفر مع خادم القيادة والتحكم (C2)، وآليات البقاء على النظام باستخدام systemd لضمان الوصول طويل الأمد.
يقوم المهاجمون بنشر برمجية تنزيل خبيثة مبنية بلغة Go ومغلفة بـ UPX، والتي تنشئ مجلداً مخفياً باسم ~/.local. تقوم هذه البرمجية بتحميل ثلاثة ملفات رئيسية من نطاق innlive.in: gkt3.1 (وهو Ares RAT مبني بلغة Python ومغلف بـ PyInstaller)، و gkt3.sh (وهو سكريبت لتثبيت خدمة systemd لضمان البقاء)، بالإضافة إلى ملف PDF وهمي كطعم. تضمن خدمة systemd تشغيل gkt3.1 تلقائياً عند تسجيل الدخول، مما يضمن استمرارية التنفيذ حتى بعد إعادة تشغيل النظام.
تفاصيل Ares RAT
يعمل Ares RAT، كأداة وصول عن بعد (RAT) مبنية بلغة Python، على تهيئة فئة “Agent” التي تجمع معلومات النظام الأساسية مثل المنصة، واسم الجهاز، واسم المستخدم، ومعرف فريد للجهاز. يقوم بتنفيذ وظيفة listall() لتعداد كافة الملفات في المجلد الرئيسي بشكل متكرر، وحفظ النتائج في ملف /tmp/list.txt قبل إرسالها إلى خادم القيادة والتحكم عبر بروتوكول HTTP متعدد الأجزاء.
يتبع Ares RAT حلقة لا نهائية تقوم بالاستعلام عن نقطة النهاية /hello كل فترة زمنية محددة للحصول على الأوامر. تشمل هذه الأوامر تغيير دليل العمل (cd)، تحميل (upload) أو تنزيل (download) الملفات، التقاط لقطات للشاشة (screenshot)، تنفيذ أوامر Python (python exec)، تثبيت آليات البقاء (persist)، أو إنهاء العملية (exit).
من جهة أخرى، تستخدم الهجمات المتوازية على أنظمة ويندوز اختصارات LNK التي تستدعي mshta.exe لجلب أكواد JavaScript من مواقع مخترقة مثل sifi.co.in. يؤدي ذلك إلى استغلال ثغرات في XAML deserialization وتنفيذ .NET deserialization في الذاكرة، مما يسمح بتنزيل GETA RAT (.NET).
يستخدم GETA RAT بروتوكول TCP مشفر بواسطة AES للتواصل مع خادم القيادة والتحكم، وغالباً ما يستخدم منافذ مثل 8621. تتميز الاتصالات بإرسال “نبضات” (beacons) و “قلوب” (heartbeats) بشكل دوري (بفترات عشوائية تتراوح بين 30-60 ثانية)، بالإضافة إلى استقبال أوامر مثل إنهاء العمليات (pkill)، التقاط لقطات للشاشة (RD)، أوامر shell، وعمليات الملفات. تشمل آليات البقاء على النظام مجلد بدء التشغيل (Startup folder)، وتسجيل النظام (registry)، مع إجراء فحوصات لتجنب اكتشافه من قبل برامج مكافحة الفيروسات مثل Kaspersky و Quick Heal.
أما Desk RAT، وهو برنامج خبيث آخر مبني بلغة Go، فيصل غالباً عبر ملفات PPAM، مثل تلك التي تحمل عناوين مثل “Project Vijayak BRO Updates”. يقوم تلقائياً بتشغيل وحدات ماكرو VBA لجلب ملفات ZIP من نطاق defenceindia.siteteamindia.
يقوم Desk RAT بجمع معلومات حول النظام مثل وحدة المعالجة المركزية (CPU)، الذاكرة، ووقت التشغيل (uptime). ثم يثبت نفسه في النظام عبر مفتاح Run في سجل النظام ضمن المجلد المؤقت (%TEMP%). ويكتشف عنوان IP العام للجهاز عبر خدمات مثل ipify.org أو icanhazip.com، أو بإرسال حزم UDP إلى 8.8.8.8:80. يقوم بعد ذلك بإثراء المعلومات الجغرافية بالاعتماد على خدمة ip-api.com. يستخدم Desk RAT بروتوكول WebSocket كخادم للقيادة والتحكم، ويتواصل عبر المسار /ws لإرسال معلومات العميل (clientinfo) ونبضات القلب (heartbeats) مع قياسات الأداء (telemetry). تشمل الأوامر التي يمكن أن يتلقاها “browsefiles” و “uploadexecute”.
وتظهر برمجيات التنزيل لأنظمة لينكس توقيتات ثابتة وآليات تكرار آلية، بينما يستخدم Ares RAT عمليات تحميل بيانات تقارير بمواعيد يمكن التنبؤ بها. وفي المقابل، يُظهر GETA NAT فجوات زمنية تقدر بـ 0.24 ثانية بين صور لقطات الشاشة، وأوامر ثابتة بطول 16 بايت ما بعد التشفير، وذلك وفقاً لتقرير مختبرات أريا لأبحاث التهديدات.
تتبع اتصالات WebSocket الخاصة بـ Desk RAT مصافحات RFC 6455 مع فترات نبضات قلب ثابتة مدتها 30 ثانية. تشمل المؤشرات على الاختراق (IOCs) عناوين IP مثل 65.109.190.120 و 2.56.10.86، بالإضافة إلى تجزئات ملفات خبيثة مثل d33ad6ed76cdd0b036af466d69a6ff50 (خاص بـ Desk RAT).
توصي الجهات الأمنية بحظر النطاقات المشبوهة مثل innlive.in و sifi.co.in، ومراقبة عمليات mshta.exe، وخدمات systemd، وترقيات WebSocket. كما يُنصح باستخدام حلول DNS و SWG للحماية من التصيد الاحتيالي، وأنظمة كشف التسلل ومنعه (IDS/IPS) لرصد الاتصالات المشبوهة أو المشفرة. وتدعو أريا إلى تبني حلول SASE الموحدة التي تجمع بين جدران الحماية من الجيل التالي (NGFW)، وبرامج مكافحة الفيروسات، وآليات فحص حركة المرور لتقليل الفترة الزمنية التي يبقى فيها الخصم دون اكتشاف داخل الشبكة.