RedNovember هي مجموعة تهديد سيبراني مدعومة من الدولة الصينية (state-sponsored)، تم اكتشاف نشاطاتها منذ يونيو 2024 وحتى يوليو 2025. استهدفت المجموعة حكومات ومنظمات خاصة في إفريقيا، آسيا، أمريكا الشمالية، أمريكا الجنوبية وأوقيانوسيا. كما تتبعها شركات الأمن الإلكتروني تحت مسميات مختلفة مثل TAG-100 و Storm-2077.
كيف استُخدمت Pantegana وCobalt Strike في الهجمات؟
اعتمدت RedNovember على Pantegana كـ backdoor يعتمد على لغة Go للتحكم عن بُعد، بينما استخدمت Cobalt Strike في الحركة الجانبية والتنفيذ داخل الشبكات المستهدفة.
بالإضافة إلى ذلك، استُخدم variant من LESLIELOADER لإطلاق Spark RAT أو Cobalt Strike Beacons على الأجهزة المخترقة. هذه الأدوات المفتوحة المصدر تساعد على تشويش التحقيقات وإخفاء هوية المهاجمين.
أهداف RedNovember: من يستهدف؟
ركزت RedNovember على مجموعة واسعة من القطاعات الحساسة، بما في ذلك:
- الدفاع والطيران والفضاء
- الوزارات الحكومية والمنظمات الدولية
- شركات المحاماة والمؤسسات القانونية
- مقاولون صناعيون ودفاعيون في أمريكا وأوروبا وآسيا
| الدولة / المنطقة | القطاع المستهدف | الأداة المستخدمة |
|---|---|---|
| أميركا الشمالية | مقاول دفاعي | Pantegana + Cobalt Strike |
| جنوب شرق آسيا | وزارة خارجية | Spark RAT |
| أوروبا | شركة محركات صناعية | Pantegana |
أسباب وخطورة الهجمات
استهداف أجهزة الأمن مثل VPNs, firewalls, email servers يتيح للمهاجمين الوصول إلى الشبكات الحساسة بشكل مخفي لفترات طويلة. هذا النوع من الهجمات يمكن أن يؤدي إلى:
- سرقة بيانات حساسة وملفات سرية
- ابتزاز أو تهديد مؤسسات حيوية
- تعطيل البنية التحتية الرقمية للمنظمات المستهدفة
أدوات وتقنيات أخرى استُخدمت
استخدمت المجموعة أدوات مفتوحة المصدر مثل Spark RAT وLESLIELOADER لتسهيل السيطرة على الأجهزة المخترقة، بالإضافة إلى الاعتماد على خدمات VPN مثل ExpressVPN وWarp VPN لتشغيل خوادم الاستغلال.
Snippet: "RedNovember تعتمد على أدوات مفتوحة المصدر وخدمات VPN لإخفاء هويتها أثناء الهجمات السيبرانية."
كيف تحمي نفسك والمنظمات من هجمات RedNovember
أفضل الممارسات الأمنية:
- تحديث الأنظمة وسد الثغرات (CVE-2024-24919, CVE-2024-3400).
- مراقبة أجهزة VPN وfirewalls بشكل دوري.
- استخدام حلول EDR/XDR لمراقبة الأنشطة المشبوهة.
- تفعيل feeds للـ threat intelligence لمتابعة أحدث التهديدات.
دروس مستفادة من هذه الحملة
- أهمية التنسيق الدولي ضد التهديدات السيبرانية المدعومة من الدول.
- ضرورة الاستثمار في الأمن السيبراني الاستباقي والتحديث المستمر للأنظمة.
- الاعتماد على تقارير threat intelligence لمراقبة نشاطات مجموعات التجسس.
دراسات حالة وأمثلة واقعية
أبرز الأمثلة تشمل:
- استهداف وزارات خارجية في جنوب شرق آسيا قبل زيارة الدولة للصين.
- اختراق مقاولين دفاعيين في الولايات المتحدة وأوروبا.
- استهداف مؤسسة إعلامية ومقاول هندسي في أمريكا الشمالية عام 2025.
الأسئلة الشائعة
ما هي RedNovember؟
RedNovember هي مجموعة تهديد سيبراني مدعومة من الدولة الصينية، استهدفت حكومات ومنظمات خاصة حول العالم باستخدام أدوات مثل Pantegana وCobalt Strike.
ما هي Pantegana وCobalt Strike؟
Pantegana هو backdoor يعتمد على لغة Go للتحكم عن بعد، بينما Cobalt Strike أداة استغلال تستخدم للحركة الجانبية والتنفيذ داخل الشبكات.
كيف يمكن اكتشاف هجوم RedNovember؟
من خلال مراقبة الأنظمة الأمنية، تحليل الـ logs للـ firewalls وVPNs، واستخدام أدوات EDR/XDR للكشف عن أنشطة غير طبيعية.
الخلاصة
جوم RedNovember يمثل مثالاً واضحاً على التهديدات السيبرانية المتقدمة المدعومة من الدول، حيث تستخدم المجموعة أدوات مفتوحة المصدر مثل Pantegana وCobalt Strike لإخفاء هويتها والسيطرة على شبكات حساسة. حماية الأنظمة وتحديثها باستمرار، إضافة إلى الاعتماد على threat intelligence، هي الخطوة الأهم للحفاظ على أمان البيانات.
