كشفت تقارير أمنية حديثة عن قيام مجموعة OceanLotus، والمعروفة أيضاً باسم APT32، بحملة تجسس إلكتروني مكثفة تستهدف الأنظمة الصينية المتكاملة لتكنولوجيا المعلومات، المعروفة باسم “Xinchuang”.
تُعد هذه التحركات الاستراتيجية للمجموعة خطوة لتعزيز قدرتها على اختراق البنى التحتية الهامة، مستغلةً في ذلك الأنظمة المحلية المصممة لضمان الاعتماد الذاتي والأمن في قطاع تكنولوجيا المعلومات.
تهديدات OceanLotus الجديدة على منظومة Xinchuang
تُركز الهجمات الجديدة لمجموعة OceanLotus بشكل خاص على اختراق بيئات Xinchuang، وهي منظومة وطنية صينية تسعى لتأسيس بنية تحتية مستقلة وآمنة لتكنولوجيا المعلومات تعتمد على المكونات والأجهزة المحلية. يبدو أن المجموعة قد حددت هذه البيئات كهدف رئيسي نظراً لأهميتها الاستراتيجية في تأمين البيانات الحساسة والشبكات الصناعية.
تختلف هذه الاستراتيجية عن الهجمات السابقة، حيث تسعى المجموعة إلى استغلال الهيكلية الفريدة لهذه الأنظمة المحلية لشن هجمات سلسلة التوريد (Supply Chain Attacks). هذا النهج يسمح للمهاجمين بتجاوز الدفاعات التقليدية التي قد تكون متوفرة في بيئات تكنولوجيا المعلومات الأكثر شيوعاً.
أساليب الهجوم المتنوعة
تعتمد مجموعة OceanLotus على أساليب هجوم متعددة ومتطورة للوصول إلى أهدافها. تشمل هذه الأساليب ملفات تصيدية (Phishing Lures) مصممة خصيصاً لتتوافق مع الهيكلية المعتمدة على نظام Linux في محطات Xinchuang.
من بين هذه الأساليب، استخدام ملفات .desktop التي تعمل بشكل مشابه لملفات الاختصار في أنظمة ويندوز، وملفات PDF التي تستدعي مستندات عن بعد عبر برنامج WPS Office، بالإضافة إلى ملفات JAR التي تنفذ مباشرة ضمن بيئات Java المثبتة مسبقاً.
غالباً ما تتخفى هذه الطُعم في شكل إشعارات حكومية رسمية، مما يجعلها أداة فعالة لتجاوز الضوابط الأمنية القياسية. فهي تندمج بسهولة مع سير العمل الإداري المشروع وأنواع الملفات الشائعة في القطاع المستهدف، مما يزيد من احتمالية نجاحها.
استغلال الثغرات الأمنية
لاحظ محللو الأمن السيبراني في Blackorbird نمطاً مميزاً من اختراقات سلسلة التوريد في الشبكات المتأثرة، مما قادهم إلى تحديد البرمجيات الخبيثة المستخدمة. وتشير الأبحاث إلى أن المجموعة قد تستغل ثغرات أمنية غير معروفة (Zero-day flaws) لشن هجماتها.
تبدأ الهجمات عادة بمحاولات تخمين كلمة المرور (Brute-force) على خوادم الأمان الداخلية. بعد ذلك، تلجأ المجموعة إلى استغلال ثغرات يُحتمل أنها غير معروفة، لتوزيع نصوص برمجية خبيثة عبر البنية التحتية، مما يسمح لها بالحفاظ على وصول طويل الأمد وخفي.
استغلال CVE-2023-52076
من التقنيات الملحوظة التي تستخدمها المجموعة استغلال الثغرة الأمنية CVE-2023-52076 في برنامج Atril Document Viewer، وهو مكون افتراضي في العديد من التوزيعات المستهدفة. يقوم المهاجمون بتوزيع ملف EPUB خبيث، يحمل اسم “Safety Office Inspection Work – Final Version.epub”.
عند فتح هذا الملف، يتم استغلال ثغرة حرجة تسمح بتجاوز المسار والتحكم في الملفات (Path Traversal and Arbitrary File Write). يسمح هذا للمهاجمين بالكتابة مباشرة إلى مجلد autostart الخاص بالمستخدم، عبر آلية persistence ملف باسم desktop-service-7803.desktop، دون الحاجة لصلاحيات إدارية.
في الوقت نفسه، يتم وضع ملف حمولة مشفر، .icWpnBHQcOKa، في المجلد المخفي .config لتجنب الكشف البصري. وعند إعادة تشغيل النظام أو تسجيل دخول المستخدم، يقوم ملف سطح المكتب الخبيث بالتنفيذ تلقائياً، مما يؤدي إلى فك تشفير الحمولة المخفية وتشغيل أداة تحميل PYHTON.
تضمن عملية الإصابة متعددة المراحل بقاء البرمجيات الخبيثة غير مكتشفة بواسطة أدوات التحليل الساكن، مع تأسيس موطئ قدم قوي ومرن في البيئة المستهدفة لعمليات استخلاص البيانات المستمرة.