بدأت مجموعة APT بالاعتماد بشكل كبير على الخدمات السحابية مثل Azure Active Directory و OneDrive ، بالإضافة إلى أدوات أخرى مفتوحة المصدر، لإخفاء هجماتها الخبيثة. لذلك، قامت شركة مايكروسوفت بإغلاق 18 حساباً من تطبيقات Azure Active Directory التي تم الاستفادة من بنيتها التحتية لشن الهجومات الضارة، من قبل ما تصفه بأنه جهة فاعلة صينية.

وبما أن خدمات Microsoft مثل Azure Active Directory (AD) تحظى بشعبية كبيرة بين المؤسسات، فإن مجرمي الإنترنت ينتقلون إليها لتعزيز تسليح حمولة البرامج الضارة الخاصة بهم، ومحاولة الحصول على القيادة والتحكم في جميع الطرق وصولاً إلى الخادم، والتشويش على برامج الأمان الخاصة برصد المتسللين.

إحدى مجموعات التهديد هذه التي تم رصدها مؤخراً، والتي تستفيد من الخدمات السحابية وأدوات أخرى مفتوحة المصدر، تعرّف عنها مايكروسوفت باسم Gadolinium، وهي مجموعة نشطة من الدولة القومية الصينية التي قامت بمهاجمة العديد من الأهداف خلال عقد من الزمان.

بعد اختراق أجهزة الضحايا، كان Gadolinium يُنشئ حسابات AD لتلقي الأوامر وإرسال البيانات المسروقة إلى خادم C2 الخاص به. ولكن بعد ذلك، بدأت مجموعة التهديد أيضاً بتخزين البيانات المسروقة في خدمة استضافة الملفات من Microsoft وخدمة المزامنة OneDrive بهدف شن هجمات باستخدام مجموعة أدوات PowershellEmpire مفتوحة المصدر، فيما تم استخدام GitHub لاستضافة الأوامر.

 

هجمات متطورة عبر Azure

يُعرف Gadolinium أيضا باسم APT40، وهي مجموعة تجسس ترعاها الدولة وتُنسب إلى الصين، استهدفت سابقاً الصناعات البحرية والصحية في جميع أنحاء العالم. وقالت Microsoft مؤخراً إنها لاحظت توسع نشاطات المجموعة لتشمل منطقة آسيا والمحيط الهادئ وأهدافاً أخرى في التعليم العالي والمنظمات الحكومية الإقليمية.

في منتصف نيسان 2020، تم الكشف عن جهات التهديد التي ترسل رسائل بريد إلكتروني خاصة بالتصيد الاحتيالي تحتوي على مرفقات ضارة، مع إغراءات تتعلق بجائحة COVID-19. عند فتح ملف PowerPoint المرفق (20200423-sitrep-92-covid-19.ppt) ، سيؤدي إلى إسقاط ملف ، doc1.dotm ، والذي يحتوي بعد ذلك على حمولتين يتم تشغيلهما على التوالي.

يتضمن ذلك الحمولة التي تقوم بإيقاف تشغيل فحص النوع (DisableActivitySurrogateSelectorTypeCheck) ، بينما يقوم الثاني بتحميل ملف .Net مضمن يقوم بتنزيل ملف صورة بتنسيق.

أي أنه وراء الكواليس، اعتمدت هذه الهجمات في السنوات الأخيرة على مجموعة من خدمات Microsoft والأدوات الأخرى مفتوحة المصدر، وها هي مايكروسوفت تغلق بعض الحسابات المشبوهة بهدف الحد من هذه الهجمات الضارة.