هجمات الاتصالات في أمريكا الجنوبية بأدوات صينية جديدة

تكشف هجمات الاتصالات في أمريكا الجنوبية عن تجسس رقمي يستهدف بنية الشبكات الحيوية عبر برمجيات تعمل على ويندوز ولينكس وأجهزة الحافة في 2024.ما تفاصيل هجمات الاتصالات في أمريكا الجنوبية؟تتابع فرق الأمن حملة مرتبطة بجهة صينية تحمل اسم UAT-9244 وتُظهر تقاطعًا مع مجموعة FamousSparrow، مع تشابه تكتيكي محدود مع Salt Typhoon دون دليل حاسم. ووفقًا لمتابعة تيكبامين، يتركز الاستهداف على مزودي الاتصالات في المنطقة وشبكاتهم الحرجة.سلسلة الهجوم والأدوات المكتشفةالحملة وزعت ثلاث برمجيات خبيثة غير موثقة سابقًا، كل واحدة مصممة لمنصة مختلفة، ما يشير إلى تنسيق طويل المدى واختراق متعدد المراحل.TernDoor تستهدف Windows عبر باب خلفي متقدم.PeerTime أو angrypeer تستهدف Linux بنموذج P2P.BruteEntry تُزرع في أجهزة الحافة لتأمين موطئ قدم.طريقة الوصول الأولى غير محسومة، لكن السجل السابق يُظهر استغلال إصدارات قديمة من Windows Server وMicrosoft Exchange لزرع web shells تمهيدًا للحركة الجانبية.كيف عملت أداة TernDoor على أنظمة ويندوز؟تعمل TernDoor عبر تقنية DLL side-loading باستخدام الملف الشرعي wsprint.exe لتشغيل BugSplatRc64.dll التي تفك تشفير الحمولة في الذاكرة. وتشير التحليلات إلى أنها نسخة مطورة من Crowdoor/SparrowDoor مستخدمة منذ نوفمبر 2024.الاستمرارية والصلاحياتإنشاء مهمة مجدولة أو استخدام مفتاح Registry Run لضمان الاستمرارية.تضمين برنامج تشغيل لإيقاف واستئناف وإنهاء العمليات الحساسة.الاعتماد على خيار واحد للإزالة «-u» لحذف الآثار عند الحاجة.وتختلف الأداة عن Crowdoor في أوامر التحكم، مع تركيز على إخفاء المكونات وتقليل الضوضاء داخل النظام.بعد الإطلاق تتحقق الأداة من حقن نفسها داخل msiexec.exe، ثم تفك إعدادات الاتصال لاستخراج بيانات C2 وتبدأ التواصل. بعد ذلك تحصل على قدرة واسعة لإدارة النظام عن بُعد.إنشاء عمليات وتنفيذ أوامر وتشغيل ملفات بشكل مباشر.قراءة وكتابة الملفات وجمع معلومات النظام والشبكة.نشر برنامج التشغيل لإخفاء المكونات وإدارة العمليات.ماذا نعرف عن PeerTime وBruteEntry؟كشف تحليل البنية التحتية عن باب خلفي P2P باسم PeerTime أو angrypeer مخصص للينكس ويستهدف خوادم وموجهات متعددة. كما تُثبت أداة BruteEntry على أجهزة الحافة لتأمين موطئ قدم دائم وتنفيذ قفزات داخل الشبكة.مرونة التمويه عبر البنيةدعم معماريات ARM وAARCH وPPC وMIPS لتوسيع نطاق الإصابات.اتصال P2P يقلل الاعتماد على خادم مركزي ويصعّب التعقب.تركيز على أجهزة الحافة لتسهيل التحرك الأفقي داخل الشبكات.لماذا تثير هذه الحملة قلق مشغلي الاتصالات؟تجمع الحملة بين أنظمة ويندوز ولينكس وأجهزة الحافة، ما يرفع خطر التجسس على المكالمات والبيانات الحساسة وتعطيل الخدمات. هذا المزيج يجعل الاكتشاف التقليدي أكثر صعوبة لمزودي الاتصالات.خطوات تقليل المخاطر الآنتحديث Windows Server وMicrosoft Exchange وإغلاق الثغرات القديمة سريعًا.مراقبة المهام المجدولة ومفاتيح Registry Run والعمليات غير المعتادة.تشديد حماية أجهزة الحافة ومراجعة حسابات الإدارة البعيدة.تتبع الاتصالات الخارجية لرصد قنوات C2 واتصالات P2P.يرى تيكبامين أن هجمات الاتصالات في أمريكا الجنوبية تؤكد ضرورة خطة استجابة سريعة وتدقيق مستمر في السجلات. الاستثمار في تحديث البنية ومراقبة الشبكة يبقى خط الدفاع الأول خلال 2024 وما بعدها.