تم القبض على مجموعة قرصنة ناطقة بالصينية تم تحديدها حديثًا، والتي تم تتبعها باسم UAT-7237، وهي تستهدف استضافة الويب و VPN البنية التحتية الأساسية في تايوان، وفقًا لبحث أجرته شركة Cisco Talos أجراه آشير مالهوترا وبراندون وايت وفيتور فينتورا.
تُسلّط الحملة الضوء على أن خدمات استضافة المواقع الإلكترونية لا تزال هدفًا بالغ الأهمية للمهاجمين المدعومين من الدول. بالنسبة لمشتري خدمات الاستضافة، تُعدّ هذه الحادثة تذكيرًا لهم بأن موقع الخادم، وتحديثات البرامج، وممارسات الأمان لدى مُضيفهم، يمكن أن تؤثر بشكل مباشر على سلامة موقعهم الإلكتروني.
ماذا حدث؟
كشف باحثون في شركة سيسكو تالوس أن مجموعة UAT-7237 نشطة منذ عام 2022 على الأقل. ويُعتقد أن هذه المجموعة فرعية من مجموعة تهديدات متقدمة مستمرة صينية أكبر تُعرف باسم UAT-5918. وعلى عكس مجموعات هجمات الفدية التي تُنفذها عمليات الاقتحام والاستيلاء، تُركز هذه الحملة على الوصول الخفي طويل الأمد إلى أنظمة الاستضافة.
بدلاً من تحقيق مكاسب مالية سريعة، يسعى المهاجمون إلى السيطرة على VPN والبنية التحتية السحابية، والأصول التي يمكن أن تمنحهم إمكانية الوصول المستمر إلى الاتصالات والبيانات الحساسة.
كيف اقتحموا المكان؟
حصل المهاجمون على وصول أولي عبر استغلال خوادم غير مُرقعة ومُعرّضة للاختراق عبر الإنترنت. بمجرد دخولهم، نشروا أداة مُخصصة تُسمى "SoundBill"، تُحمّل حمولات إضافية مثل Cobalt Strike للتحكم عن بُعد، وبرامج سرقة بيانات الاعتماد مثل Mimikatz.
واعتمدوا أيضًا على:
- أدوات تصعيد الامتيازات (JuicyPotato)
- أدوات إدارة Windows (SharpWMI، WMICmd)
- VPN العملاء والوصول إلى RDP للاستمرارية
- تقنيات حصاد بيانات الاعتماد مثل إلقاء LSASS
بدلاً من إسقاط قذائف الويب على الفور، قام المهاجمون بتثبيت SoftEther VPN العملاء (المُهيأون باللغة الصينية)، مما يسمح لهم بالتحرك أفقيًا والحفاظ على تواجد طويل الأمد دون إثارة الإنذارات.
قراءة إضافية لهذا البحث حول مدونة سيسكو تالوسيمكن أيضًا العثور على مؤشرات الأداء الرئيسية لهذا البحث في هذا مستودع جيثب.
لماذا يهم هذا الأمر مشتري الاستضافة؟
بالنسبة للشركات والمطورين الذين يختارون المضيف، يسلط هذا الحادث الضوء على ثلاث حقائق:
إدارة التصحيحات أمر بالغ الأهمية
استغلّ المهاجمون أنظمةً قديمة. ينبغي على مستضيف الويب الموثوق تحديث البرامج بسرعة، دون تعريض العملاء لثغرات أمنية معروفة.
الأمان هو جزء من وقت التشغيل
كثيراً ما نتحدث عن ضمانات استمرارية الخدمة، لكن الخادم المتضرر قد يكون بنفس ضرر انقطاع الخدمة. إذا فشل مزود الاستضافة في تأمين بنيته التحتية، فقد يصبح موقعك هدفاً لحملة تجسس أوسع.
الأمن المُدار يستحق الاهتمام
غالبًا ما توفر الاستضافة المشتركة عزلة محدودة. VPS أو المدارة WordPress عادةً ما توفر الاستضافة طبقات أمان أقوى، بما في ذلك عزل الحاويات، أو جدران الحماية المخصصة، أو مراقبة البرامج الضارة، مما يقلل من المخاطر من الجيران على نفس الخادم.
دروس لمستخدمي الاستضافة
- اختر المضيف الذي يدعم التصحيح الاستباقي. اسأل عن مدى السرعة التي ينشرون بها تحديثات الأمان.
- ابحث عن مقدمي الخدمة الذين يتضمنون فحص البرامج الضارة، أو اكتشاف التطفل، أو DDoS حماية.
- إذا كنت تقوم بتشغيل أحمال عمل حساسة، ففكر في استضافة VPS أو الاستضافة المخصصة، مما يؤدي إلى عزل الموارد وتقليل خطر الحركة الجانبية.
- راقب نشاط حسابك الخاص. حتى لو كان المضيف الخاص بك يتولى إدارة الأمان، فلا يزال يتعين عليك مراقبة محاولات تسجيل الدخول غير المعتادة أو العمليات الجديدة.
الخلاصة
تُذكّرنا حملات التجسس الإلكتروني، مثل UAT-7237، بأن البنية التحتية لاستضافة المواقع الإلكترونية تُشكّل محور العمليات التجارية ومصالح الأمن العالمي. وبينما استهدفت هذه الحملة مقدمي الخدمات التايوانيين، التقنيات (استغلال الخوادم القديمة، وتثبيت VPN لا تقتصر التهديدات (مثل الثغرات الأمنية، وجمع بيانات الاعتماد) على الجغرافيا.
بالنسبة لأصحاب المواقع الإلكترونية، الدرس بسيط: اختر مضيفًا يأخذ الأمان على محمل الجد.
سواء كنت تدير متجرًا للتجارة الإلكترونية أو منصة عضوية أو موقعًا تجاريًا، فإن سرعة تصحيح البرامج الضارة ووضع الأمان لدى المضيف الخاص بك يؤثران بشكل مباشر على تعرضك للمخاطر.
كما هو الحال دائمًا، نوصي بمراجعة خيارات الاستضافة مع وضع الأداء والأمان في الاعتبار.
