هجمات Silver Dragon تفاصيل اختراق الحكومات عبر Google Drive وCobalt Strike
كشف باحثو الأمن السيبراني عن تفاصيل مجموعة تهديد متقدمة ومستمرة (APT) تدعى “Silver Dragon”، والتي شنت هجمات استهدفت كيانات حكومية في أوروبا وجنوب شرق آسيا منذ منتصف عام 2024 على الأقل.
وتصنف هذه المجموعة كأحد الأذرع العاملة تحت مظلة “APT41″، وهي مجموعة هكرز صينية غزيرة الإنتاج ومعروفة بأنشطتها في التجسس السيبراني التي تعود إلى عام 2012، مع سجل حافل في استهداف قطاعات الرعاية الصحية، والاتصالات، والتعليم، والخدمات التقنية. وتتميز “Silver Dragon” بقدرتها العالية على التكيف واستخدام أدوات متطورة لاختراق السيرفرات العامة المفتوحة على الإنترنت.
تعتمد المجموعة على ثلاث سلاسل عدوى رئيسية لإيصال برمجية “Cobalt Strike” الضارة: اختطاف نطاقات التطبيق (AppDomain hijacking)، ومكتبات الخدمة (Service DLL)، وحملات التصيد الاحتيالي عبر البريد الإلكتروني. في السلسلتين الأولى والثانية، يتم استغلال السيرفرات الضعيفة لإسقاط محمل برمجيات يُعرف باسم “MonikerLoader” أو محمل “BamboLoader” المشفر بلغة ++C، والذي يتم تسجيله كخدمة ويندوز لضمان البقاء داخل النظام. أما السلسلة الثالثة، فتستهدف بشكل خاص دولة أوزبكستان عبر مرفقات ملفات اختصار (LNK) ملغومة تؤدي إلى تنفيذ أكواد “PowerShell” واستخراج حمولات خبيثة.
من أبرز التكتيكات المكتشفة في حملات “Silver Dragon” هو استخدام برمجية خلفية (Backdoor) تُدعى “GearDoor”، والتي تتواصل مع بنيتها التحتية للتحكم عبر منصة “Google Drive”. تقوم هذه البرمجية برفع ملفات تحتوي على معلومات النظام المصاب، وتستخدم امتدادات ملفات متنوعة ومضللة (مثل .pdf و .png و .rar) لإرسال واستقبال الأوامر، وتنفيذ المهام، وتحديث البرمجية الخبيثة. هذا الأسلوب يسمح للمجموعة بتجاوز أنظمة الكشف التقليدية عبر دمج حركة مرور البيانات الخبيثة ضمن نشاطات السحابة الطبيعية والموثوقة.
بمجرد إحكام السيطرة على المضيف، تنشر المجموعة مجموعة أدوات متطورة تشمل “SilverScreen”، وهو أداة لمراقبة الشاشة تلتقط دورياً لقطات لنشاط المستخدم مع تتبع دقيق لموقع مؤشر الفأرة. كما تستخدم أداة “SSHcmd” لتنفيذ الأوامر عن بُعد ونقل الملفات عبر بروتوكول SSH، بالإضافة إلى الاستعانة بأداة “TruffleHog” الأصلية للبحث عن الأسرار البرمجية والمفاتيح المشفرة داخل النظام. هذه الأدوات تعكس الموارد الوفيرة التي تمتلكها المجموعة وقدرتها على إجراء عمليات تجسس عميقة وشاملة داخل المؤسسات المستهدفة.
يربط الباحثون بين “Silver Dragon” وأنشطة APT41 الصينية نظراً للتداخل الكبير في أساليب العمل (Tradecraft)، مثل استخدام نصوص برمجية للتثبيت وآليات تشفير لوحظت سابقاً في محملات مرتبطة بالصين. وتؤكد شركة “Check Point” أن المجموعة تطور أدواتها وتقنياتها باستمرار، وتقوم باختبار ونشر قدرات جديدة بنشاط عبر حملات مختلفة، مما يجعلها مجموعة تهديد مرنة ومصممة بدقة لتنفيذ عمليات تجسس سيبراني وتخريب واسعة النطاق على المستوى الدولي.
