عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة برنامج BEARDSHELL الخبيث

برنامج BEARDSHELL الخبيث

بواسطة Mezo في البرمجيات الخبيثة, التهديد المستمر المتقدم (APT), الأبواب الخلفية
ترجمة الى:

أصدر فريق الاستجابة لطوارئ الحاسوب في أوكرانيا (CERT-UA) تحذيرًا بشأن حملة هجوم إلكتروني جديدة تُدبّرها مجموعة APT28، وهي مجموعة تهديد مرتبطة بروسيا وتُعرف أيضًا باسم UAC-0001. تستخدم هذه العملية رسائل دردشة Signal لنشر عائلتين جديدتين من البرامج الضارة، تُعرفان باسم BEARDSHELL وCOVENANT، مما يُمثّل تطورًا ملحوظًا في أساليب المجموعة.

بيردشيل وسليماجنت: ثنائي خطير

تم اكتشاف BEARDSHELL، المطوّر بلغة C++، لأول مرة بين مارس وأبريل 2024، ونُشر على نظام ويندوز إلى جانب أداة التقاط لقطات شاشة تُسمى SLIMAGENT. تشمل إمكانيات BEARDSHELL تنفيذ نصوص PowerShell وتحميل المخرجات الناتجة إلى خادم بعيد باستخدام واجهة برمجة تطبيقات Icedrive.

عند الكشف الأولي، لم يكن لدى فريق CERT-UA وضوح بشأن كيفية تسلل البرنامج الخبيث إلى النظام. ومع ذلك، كشفت النتائج الأخيرة، الناتجة عن وصول غير مصرح به إلى حساب بريد إلكتروني "gov.ua"، عن ناقل الهجوم الأولي المستخدم في حادثة عام 2024. وأكد هذا التحقيق المتعمق استخدام كلٍّ من BEARDSHELL وإطار عمل برمجي خبيث يُعرف باسم COVENANT.

سلسلة العدوى: المستندات المليئة بالوحدات الكبيرة وحمولات DLL

يبدأ الهجوم برسالة Signal تحتوي على مستند Microsoft Word ضار بعنوان "Акт.doc". يتضمن هذا المستند ماكرو مُضمّنًا، يُوفر، بمجرد تفعيله، مكونين:

  • ملف DLL ضار: ctec.dll
  • صورة PNG مقنعة: windows.png

يُجري الماكرو بعد ذلك تغييرات على سجل ويندوز لضمان تشغيل ملف DLL عند تشغيل explorer.exe في المرة التالية. يقرأ هذا الملف الكود البرمجي المخفي في صورة PNG، ويُفعّل إطار عمل COVENANT للبرامج الضارة، الموجود في الذاكرة.

بعد التنشيط، يقوم COVENANT بتنزيل وتنفيذ حمولتين وسيطتين تقومان في النهاية بتثبيت الباب الخلفي BEARDSHELL، مما يمنح التحكم المستمر في النظام المصاب.

العهد: إطار عمل متطور لمكافحة البرمجيات الخبيثة في العمل

يلعب إطار عمل COVENANT دورًا محوريًا في هذه العملية، حيث يعمل كمركز لتنفيذ البرامج الضارة الإضافية. يسمح تصميمه المعياري بنشر مرن للحمولات، مما يؤدي في هذه الحالة مباشرةً إلى تنفيذ BEARDSHELL. يتجنب هذا الإطار المقيم في الذاكرة آليات الكشف التقليدية، مما يجعله خطيرًا بشكل خاص على البيئات المستهدفة.

توصيات الرصد والتخفيف

لتقليل التعرض لهذه الحملة، تنصح CERT-UA الشبكات الحكومية والشركات بمراقبة حركة المرور المرتبطة بالمجالات التالية:

  • app.koofr.net
  • api.icedrive.net

إن اليقظة بشأن الاتصالات الصادرة إلى هذه المجالات قد تساعد في اكتشاف العلامات المبكرة للخطر.

الخلاصة: التهديدات المستمرة والمتطورة

تواصل APT28 تطوير أساليب هجومها، مُدمجةً منصات مراسلة حديثة مثل Signal، ومُدمجةً إياها مع ثغرات الأنظمة القديمة. يُؤكد هذا النهج المزدوج، الذي يعتمد على البرمجيات الخبيثة المُطورة حديثًا والثغرات المعروفة، على إصرار المجموعة وأهمية دفاعات الأمن السيبراني متعددة الطبقات. يجب على المؤسسات، وخاصةً الجهات الحكومية، أن تظل متيقظة وأن تُراقب حركة مرور الشبكة بشكل استباقي بحثًا عن أي مؤشرات على الاختراق.

الشائع

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
35,126
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...