الجندي الشبح البرمجيات الخبيثة

\

اكتشف مجتمع الأمن السيبراني مؤخرًا بابًا خلفيًا مخصصًا تم تحديده مؤخرًا يسمى الجندي الخفي ، والذي تم استخدامه في سلسلة من حملات التجسس المعقدة والمستهدفة بشكل خاص في شمال إفريقيا.

الجندي المتخفي هو برنامج خبيث خلفي غير موثق يعرض مجموعة من قدرات المراقبة ، تهدف إلى جمع المعلومات الحساسة من الأنظمة المخترقة. يقوم بوظائف مراقبة مختلفة ، مثل استخراج الملفات من الجهاز المصاب ، وتسجيل الأنشطة على الشاشة والميكروفون ، وتسجيل ضغطات المفاتيح ، وسرقة البيانات المتعلقة بالتصفح.

أحد الجوانب البارزة في عملية الهجوم هذه هو استخدام خوادم القيادة والتحكم (C&C) التي تحاكي مواقع الويب المرتبطة بوزارة الخارجية الليبية. من خلال محاكاة هذه المواقع الشرعية ، يخلق المهاجمون بيئة خادعة تساعد في تنفيذ أنشطتهم الضارة. يمكن تتبع الآثار الأولية لحملة الجندي الشبح هذه إلى أكتوبر 2022 ، مما يشير إلى أن المهاجمين كانوا يعملون بنشاط لفترة طويلة.

يستخدم مشغلو البرامج الضارة الجندي المتخفي تكتيكات الهندسة الاجتماعية

تبدأ حملة الهجوم بأهداف محتملة يتم خداعها لتنزيل ثنائيات أداة التنزيل الخبيثة من خلال تكتيكات الهندسة الاجتماعية. تعمل هذه الثنائيات المخادعة كوسيلة لإيصال البرمجيات الخبيثة الجندي الشبح ، بينما تعرض في الوقت نفسه ملف PDF خادع يبدو غير ضار لإلهاء الضحايا.

بمجرد نشر البرنامج الضار Stealth Soldier بنجاح ، تصبح الغرسة المعيارية المخصصة الخاصة به نشطة. يُعتقد أن هذا الزرع ، الذي يُعتقد أنه يُستخدم بشكل مقتصد لتجنب اكتشافه ، يزود البرمجيات الخبيثة بمجموعة من إمكانيات المراقبة. فهو يجمع قوائم الدليل وبيانات اعتماد المتصفح ، ويسجل ضغطات المفاتيح ، ويسجل الصوت من ميكروفون الجهاز ، ويلتقط لقطات الشاشة ، ويحمل الملفات وينفذ أوامر PowerShell.

تستخدم البرامج الضارة أنواعًا مختلفة من الأوامر. بعض الأوامر عبارة عن مكونات إضافية يتم تنزيلها من خادم الأوامر والتحكم (C&C) ، في حين أن البعض الآخر عبارة عن وحدات نمطية مضمنة في البرنامج الضار نفسه. يسمح هذا النهج المعياري بالمرونة والقدرة على التكيف في وظائف البرامج الضارة. كما يشير أيضًا إلى أن المشغلين يقومون بصيانة البرامج الضارة وتحديثها بنشاط ، كما يتضح من اكتشاف ثلاثة إصدارات متميزة من الجندي المتخفي.

على الرغم من أنه لم يعد من الممكن الوصول إلى بعض مكونات الجندي المتخفي ، فقد كشف التحليل أن بعض الوظائف ، مثل التقاط الشاشة وسرقة بيانات اعتماد المتصفح ، مستوحاة من مشاريع مفتوحة المصدر متاحة على GitHub. يشير هذا إلى أن الجهات الفاعلة في التهديد وراء Stealth Soldier استلهمت من الأدوات الحالية ودمجتها في برامجها الضارة المخصصة لتعزيز قدراتها وفعاليتها.

أوجه التشابه مع عمليات البرامج الضارة المسجلة سابقًا

علاوة على ذلك ، تم اكتشاف أن البنية التحتية التي يستخدمها الجندي المتخفي تتشابه مع البنية التحتية المرتبطة بحملة التصيد السابقة المعروفة باسم Eye on the Nile. استهدفت حملة عين على النيل الصحفيين المصريين ونشطاء حقوق الإنسان في عام 2019.

يشير هذا التطور إلى احتمال عودة الفاعل المهدد المسؤول عن كلتا الحملتين. وتشير إلى أن المجموعة تركز بشكل خاص على إجراء أنشطة المراقبة التي تستهدف الأفراد في مصر وليبيا.

بالنظر إلى الطبيعة المعيارية للبرامج الضارة واستخدام مراحل الإصابة المتعددة ، فمن المحتمل جدًا أن يستمر المهاجمون في تكييف تكتيكاتهم وتقنياتهم. تشير هذه القدرة على التكيف إلى أنه من المحتمل أن يقوم الفاعل بإصدار إصدارات محدثة من البرامج الضارة في المستقبل القريب ، مما قد يؤدي إلى إدخال وظائف جديدة ومناورات مراوغة لتعزيز أهداف المراقبة الخاصة بهم.