عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد التهديد المستمر المتقدم (APT) هجوم التصيد الاحتيالي TA416

هجوم التصيد الاحتيالي TA416

بواسطة Mezo في التهديد المستمر المتقدم (APT), البرمجيات الخبيثة, التصيد الاحتيالي
ترجمة الى:

منذ منتصف عام 2025، عادت جهة تهديد موالية للصين للظهور مجدداً، مع تركيز قوي على الحكومات والكيانات الدبلوماسية الأوروبية، وذلك بعد ما يقرب من عامين من انخفاض نشاطها في المنطقة. ويُعزى هذا النشاط إلى مجموعة التهديدات TA416، المرتبطة أيضاً بمجموعات DarkPeony وRedDelta وRed Lich وSmugX وUNC6384 وVertigo Panda.

استهدفت العمليات في المقام الأول البعثات الدبلوماسية المرتبطة بالاتحاد الأوروبي وحلف شمال الأطلسي في عدة دول. وتتألف هذه الحملات من موجات منسقة تشمل تتبع الثغرات الأمنية على الإنترنت ونشر البرمجيات الخبيثة، مما يشير إلى جهد منظم ومستمر لجمع المعلومات الاستخباراتية.

توسع النطاق مدفوعًا بالتوترات الجيوسياسية

وقد وسعت منظمة TA416 نطاق عملياتها إلى ما وراء أوروبا، حيث شنت حملات ضد المنظمات الحكومية والدبلوماسية في الشرق الأوسط في أعقاب تصاعد الصراع بين الولايات المتحدة وإسرائيل وإيران في فبراير 2026.

يعكس هذا التوسع جهداً استراتيجياً لجمع معلومات استخباراتية إقليمية حساسة، مما يسلط الضوء على كيفية توافق أولويات استهداف المجموعة بشكل وثيق مع التطورات الجيوسياسية المتطورة.

أنظمة التهديدات المتداخلة والتقنيات المشتركة

تتشابه مجموعة التهديدات المتقدمة TA416 بشكل ملحوظ مع مجموعة أخرى تُعرف باسم موستانج باندا، وتُسمى أيضاً سيرينا كيبر، وريد إيشتار، وUNK_SteadySplit. ويتم تتبع المجموعتين معاً ضمن تصنيفات أوسع مثل إيرث بريتا، وهايف 0154، وهوني مايت، وستيتلي توروس، وتيمب.هيكس، وتويل تايفون.

بينما يرتبط برنامج TA416 بشكل أساسي بنسخ معدلة من برمجيات PlugX الخبيثة، فإن برنامج Mustang Panda يستخدم بكثرة أدوات مثل TONESHELL وPUBLOAD وCOOLCLIENT. وعلى الرغم من هذه الاختلافات، يعتمد كلا الفريقين بشكل كبير على تحميل ملفات DLL الجانبية كتقنية تنفيذ أساسية، مما يدل على منهجيات تشغيل مشتركة.

سلاسل العدوى التكيفية وتقنيات التوصيل

أظهر برنامج TA416 مرونة عالية من خلال تطوير سلاسل العدوى الخاصة به باستمرار. وتشمل التقنيات التي لوحظت في جميع الحملات إساءة استخدام صفحات التحقق الخاصة بـ Cloudflare Turnstile، واستغلال آليات إعادة توجيه OAuth، واستخدام ملفات مشاريع C# خبيثة.

تقوم المجموعة بتوزيع البرامج الضارة عبر رسائل البريد الإلكتروني التصيدية المرسلة من حسابات بريد إلكتروني مجانية. غالبًا ما تتضمن هذه الرسائل روابط إلى أرشيفات خبيثة مستضافة على منصات مثل Microsoft Azure Blob Storage أو Google Drive أو نطاقات يتحكم بها المهاجمون أو بيئات SharePoint المخترقة.

تعتمد إحدى تقنيات الاستطلاع الرئيسية على استخدام برامج التجسس الإلكترونية، وهي عبارة عن عناصر تتبع صغيرة غير مرئية مضمنة في رسائل البريد الإلكتروني. عند فتح هذه الرسائل، تُطلق طلبات HTTP تكشف بيانات تعريفية للمستلم مثل عنوان IP، وبرنامج التصفح، ووقت الوصول، مما يسمح للمهاجمين بتأكيد التفاعل وتحسين الاستهداف.

إساءة استخدام بروتوكول OAuth وتوزيع البرامج الضارة عبر السحابة

في أواخر عام 2025، استغلت حملات TA416 نقاط نهاية مصادقة OAuth الشرعية التابعة لشركة مايكروسوفت. أُعيد توجيه الضحايا الذين نقروا على روابط التصيد الاحتيالي عبر مسارات مصادقة موثوقة قبل إعادة توجيههم خلسةً إلى بنية تحتية يتحكم بها المهاجمون وتستضيف حمولات خبيثة.

بحلول أوائل عام 2026، حسّنت المجموعة أسلوبها بشكل أكبر من خلال توزيع ملفات مضغوطة عبر جوجل درايف ونسخ مخترقة من SharePoint. احتوت هذه الملفات المضغوطة على ملفات تنفيذية شرعية من مايكروسوفت MSBuild إلى جانب ملفات مشاريع C# خبيثة، مما أدى إلى إنشاء مسار تنفيذ خادع ولكنه فعال.

استغلال MSBuild ونشر الحمولة متعددة المراحل

تلعب أداة MSBuild دورًا محوريًا في سلسلة انتشار فيروس TA416. عند تشغيلها، تقوم تلقائيًا بتحديد موقع ملفات المشروع وتجميعها داخل مجلد العمل. في هذه الهجمات، تعمل ملفات CSPROJ الخبيثة كبرامج تنزيل تقوم بفك تشفير عناوين URL المشفرة بنظام Base64 واسترداد مكونات إضافية للحمولة.

تتضمن العملية تنزيل حزمة DLL جانبية، وتخزينها في مجلد مؤقت، ثم تشغيل ملف تنفيذي شرعي يقوم بتحميل برمجية PlugX الخبيثة. هذا النهج متعدد المراحل يعزز التخفي ويزيد من صعوبة اكتشافه.

إمكانيات ووظائف PlugX للباب الخلفي واستمراريته

لا يزال برنامج PlugX مكونًا أساسيًا في عمليات TA416، حيث يتم نشره باستمرار عبر الحملات على الرغم من اختلاف آليات التنفيذ. يقوم البرنامج الخبيث بإنشاء اتصال مشفر مع بنية التحكم والسيطرة، ويجري فحوصات مضادة للتحليل قبل التنفيذ لتجنب الكشف عنه.

تتيح وظائفها تحكمًا واسع النطاق بالنظام وتسريب البيانات. وتشمل القدرات الأساسية ما يلي:

  • جمع معلومات النظام التفصيلية
  • إزالة نفسها للتهرب من التحليل الجنائي
  • تعديل فترات الاتصال مع خوادم الأوامر
  • تنزيل وتنفيذ حمولات إضافية
  • إنشاء وصول عكسي للتحكم عن بعد

التطور المستمر والاستهداف الاستراتيجي

يشير عودة وحدة العمليات الخاصة TA416 إلى استهداف أهداف أوروبية بعد تركيزها على جنوب شرق آسيا ومنغوليا إلى تجدد الاهتمام بجمع المعلومات الاستخباراتية المتعلقة بالاتحاد الأوروبي وحلف شمال الأطلسي. وفي الوقت نفسه، يؤكد توسعها في عمليات الشرق الأوسط على استجابة المجموعة للصراعات العالمية.

إن استعداد الجهة المهاجمة لتطوير أساليبها باستمرار، بدءًا من صفحات التحقق المزيفة وصولًا إلى إساءة استخدام بروتوكول OAuth والتنفيذ باستخدام MSBuild، يُظهر التزامًا راسخًا بالتهرب والفعالية العملياتية. كما أن التطوير المتواصل لبرمجية PlugX الخبيثة يُؤكد دورها كتهديد تجسس إلكتروني متطور وقابل للتكيف.

الشائع

عملية احتيال على ديسكورد باسم مستر بيست

التصيد الاحتيالي, رسائل إلكترونية مزعجة
يتطلب الحفاظ على الأمان على الإنترنت وعيًا دائمًا وقدرًا معقولًا من الشك. يستغل مجرمو الإنترنت بشكل متزايد الاتجاهات الشائعة والشخصيات الموثوقة لخداع المستخدمين، وتنتشر عمليات الاحتيال المرتبطة بالمؤثرين المعروفين. تُعدّ عملية الاحتيال باسم "مستر بيست" على منصة ديسكورد مثالًا واضحًا على كيفية تلاعب المهاجمين بالثقة والفضول لاختراق الحسابات وسرقة البيانات ونشر محتوى ضار. الخدعة وراء عملية...

رسالة بريد إلكتروني احتيالية: تم تعطيل خدمة السحابة...

التصيد الاحتيالي, رسائل إلكترونية مزعجة
يجب التعامل بحذر مع رسائل البريد الإلكتروني غير المتوقعة، وخاصة تلك التي تُثير القلق أو الاستعجال. فكثيراً ما يُخفي مجرمو الإنترنت رسائلهم الاحتيالية تحت ستار إشعارات رسمية لخداع المتلقين ودفعهم إلى اتخاذ إجراءات ضارة. ومن المهم التأكيد على أن عمليات الاحتيال، مثل رسائل "تم تعطيل حسابك السحابي"، لا علاقة لها بأي شركات أو مؤسسات أو مزودي خدمات شرعيين. ما هي عملية الاحتيال "تم تعطيل حسابك...

الأكثر مشاهدة

جار التحميل...