Atroposia RAT
أتروبوزيا هو حصان طروادة (RAT) للوصول عن بُعد يُسوّق تجاريًا عبر منتديات سرية. يُزوّد مُشغّليه بتحكم عميق وخفي في الأجهزة المُخترقة، ومجموعة أدوات ثرية لسرقة البيانات، والتلاعب بسلوك الشبكة، وفحص الأنظمة بحثًا عن نقاط ضعف إضافية. نظرًا لقدراته الواسعة وميزاته في التهرب، فإن أي وجود مؤكد لأتروبوزيا على أي جهاز يتطلب إزالته فورًا.
يتم تقديم تهديد البرامج الضارة إلى "العملاء" المحتملين في ثلاث مستويات دفع:
الإيجار الشهري: 200 دولار
ربع سنوي: 500 دولار (ثلاثة أشهر)
نصف سنوي: 900 دولار (ستة أشهر)
جدول المحتويات
قناة التخفي والمثابرة والأوامر
صُمم برنامج أتروبوزيا ليبقى مخفيًا. يمكنه رفع مستوى الامتيازات تلقائيًا (متجاوزًا التحكم بحساب المستخدم)، ويستخدم تقنيات ثبات متعددة لضمان استمراريته بعد إعادة التشغيل، وهو مصمم لتجنب اكتشاف برامج مكافحة الفيروسات. اتصالاته مع خوادم التحكم والتحكم الخاصة بالمشغل مشفرة، ولوحة تحكم مصممة على غرار الويب تُبسط تنفيذ المهام الخبيثة حتى للمجرمين ذوي المهارات المتوسطة.
التحكم عن بعد المخفي ومعالجة الملفات
الميزة المميزة هي مكون سطح مكتب بعيد مخفي (يُسوّق باسم "HRDP Connect") يفتح جلسة غير مرئية على جهاز الضحية، مما يسمح للمهاجم البعيد بالتفاعل مع سطح المكتب دون ظهور أي علامات مرئية للمستخدم. إضافةً إلى ذلك، يتضمن Atroposia مدير ملفات يتيح للمهاجمين تصفح الأقراص والمجلدات، والبحث عن الملفات، وتنزيلها، وحذفها، أو تشغيلها عن بُعد.
التجميع الشامل والتغليف الخفي
يحتوي RAT على أداة التقاط تبحث عن الملفات حسب الامتداد أو الكلمة المفتاحية، وتجمّع التطابقات في ملف ZIP محمي بكلمة مرور. يمكنه تجميع البيانات وتغليفها بالكامل في الذاكرة، أو الاعتماد على أدوات النظام المدمجة، مما يقلل من بقايا البيانات على القرص الصلب، ويُعقّد عملية الكشف الجنائي.
إمكانيات سرقة بيانات الاعتماد والمحفظة
تجمع وحدة سرقة البيانات في Atroposia مجموعة واسعة من المواد الحساسة: كلمات مرور المتصفح المحفوظة، وبيانات اعتماد تطبيقات الأعمال وعملاء VPN، وبيانات برامج المراسلة، وبيانات إدارة كلمات المرور إن وجدت، ومعلومات محفظة العملات المشفرة. كما تلتقط محتوى الحافظة (أي شيء ينسخه المستخدم أو يقطعه)، وتسجله، وتخزنه. بل إنها تستطيع استبدال محتويات الحافظة بعناوين المحفظة أو بيانات الاعتماد المنسوخة - وهي تقنية مفيدة لسرقة الأموال أو اختراق الحسابات.
التلاعب بالشبكة واختطاف DNS
يمكن للبرامج الخبيثة تغيير إعدادات نظام أسماء النطاقات (DNS) أو اعتراض عمليات البحث عن الأسماء، مما يُعيد توجيه متصفح الضحية بصمت إلى مواقع مُنتحلة يتحكم بها المهاجم (مثل صفحات تسجيل دخول مزيفة). ولأن المتصفح قد لا يزال يعرض عنوان URL المتوقع، فقد يُخدع الضحايا لإدخال بيانات اعتمادهم ظانّين أنهم على موقع شرعي.
مسح الثغرات الأمنية وفرص التصعيد
يتضمن أتروبوزيا ماسحًا يفحص المضيف المصاب بحثًا عن أي تصحيحات مفقودة، أو تكوينات ضعيفة، أو برامج قديمة. في بيئات المؤسسات، يمكن أن يكشف هذا عن أهداف عالية القيمة - عملاء VPN غير مصححين، أو أخطاء في تصعيد الامتيازات، أو أي مخاطر أخرى - يستغلها المهاجمون لتوسيع نطاق الوصول عبر الشبكة.
أدوات القياس عن بعد والتحكم عن بعد للنظام
بالإضافة إلى سرقة البيانات والتحكم عن بُعد، يجمع برنامج RAT بيانات تعريف النظام (عناوين IP، وإصدار نظام التشغيل، والموقع الجغرافي، وتفاصيل أخرى عن البيئة)، ويُمكنه سرد العمليات الجارية وإدارتها، ويدعم عمليات إيقاف التشغيل وإعادة التشغيل عن بُعد. كما تتضمن مجموعة الأدوات أدوات إضافية أقل تأثيرًا، تُوفر معًا مرونة تشغيلية واسعة.
كيف تحدث العدوى عادة
المستندات الضارة أو التي تم استخدامها كأسلحة (على سبيل المثال، ملفات PDF المصابة أو المرفقات الأخرى الموزعة عبر البريد الإلكتروني)
حزم قرصنة البرامج، واستغلال البرامج غير المرغوب فيها، والإعلانات المزيفة، ومخططات الدعم الفني المزيفة، وملفات P2P/المشتركة، ومواقع التنزيل الخادعة، ومثبتات الطرف الثالث، والقنوات المماثلة
لماذا تنجح طرق التسليم هذه: يعتمد المهاجمون على الهندسة الاجتماعية (المستندات المزيفة، أو التنزيلات المغرية، أو طلبات تشغيل الملفات) أو على إساءة استخدام الثغرات الأمنية والمثبتات الخادعة - تحدث معظم الإصابات عندما يتم خداع المستخدم لتشغيل البرامج الضارة.
ملخص التأثير
يتيح أتروبوزيا استخراجًا شاملًا للبيانات (الملفات، وبيانات الاعتماد، وبيانات الحافظة، ومحافظ العملات المشفرة)، والتحكم عن بُعد سرًا، وإعادة توجيه الشبكة من خلال التلاعب بنظام أسماء النطاقات (DNS)، والاستطلاع لمزيد من الاستغلال. هيكله الخفي (تصعيد الامتيازات، والاستمرارية، والتعبئة في الذاكرة، والتحكم المشفر (C2)، والجلسات عن بُعد المخفية) يجعله خطيرًا للغاية على الأفراد والمؤسسات على حد سواء.
الاستجابة الفورية
في حال الاشتباه بوجود خلل في النظام أو اكتشافه، افصل الجهاز عن الشبكات، واحتفظ بالسجلات لتحليلها إن أمكن، وأزل البرنامج الخبيث في أسرع وقت ممكن. ونظرًا لاحتمالية استخدام بيانات اعتماد مُحصَّدة ومسارات جانبية، فتعامل مع أي اختراق على أنه احتمال انتشاره، وفكّر في تغيير كلمات المرور، وإلغاء الرموز، وإجراء تحقيق داخلي أوسع.
