Multi-License Discount Quote
قاعدة بيانات التهديد Malware باب خلفي لـ GoGra

باب خلفي لـ GoGra

بواسطة Mezo في Malware, Backdoors
ترجمة الى:
العربية

في نوفمبر 2023، تم استهداف منظمة إعلامية في جنوب آسيا باستخدام برنامج خبيث جديد مبني على لغة Go يُعرف باسم GoGra. يستخدم هذا البرنامج الخبيث، المكتوب بلغة برمجة Go، واجهة برمجة تطبيقات Microsoft Graph للتواصل مع خادم Command-and-Control (C&C) المُستضاف على خدمات بريد Microsoft. حتى الآن، لا تزال طريقة توصيل GoGra إلى البيئات المستهدفة غير معروفة. والجدير بالذكر أن GoGra مصمم لقراءة الرسائل من حساب Outlook باسم المستخدم "FNU LNU"، وتحديدًا تلك التي تبدأ أسطر موضوعها بـ "Input".

GoGra يتشابه مع البرامج الضارة التي تم الكشف عنها سابقًا

يتم فك تشفير محتويات الرسالة باستخدام خوارزمية AES-256 في وضع Cipher Block Chaining (CBC) باستخدام مفتاح معين. بعد فك التشفير، يتم تنفيذ الأوامر عبر cmd.exe. ثم يتم تشفير النتائج وإرسالها مرة أخرى إلى نفس المستخدم مع موضوع "Output". يُعتقد أن GoGra تم تطويره بواسطة مجموعة قرصنة تابعة لدولة تُعرف باسم Harvester ، نظرًا لتشابهها مع زرع .NET مخصص يسمى Graphon ، والذي يستخدم أيضًا واجهة برمجة تطبيقات Graph لوظائف Command-and-Control (C&C).

يستغل الجهات الفاعلة في مجال التهديد خدمات السحابة المشروعة بشكل متزايد

يستغل الجهات الفاعلة في مجال التهديد بشكل متزايد الخدمات السحابية المشروعة للبقاء في وضع سري وتجنب التكاليف المرتبطة بالبنية التحتية المخصصة.

ومن الأمثلة البارزة لهذا الاتجاه ما يلي:

  • Firefly : أداة جديدة لاستخراج البيانات تم استخدامها في هجوم إلكتروني ضد منظمة عسكرية في جنوب شرق آسيا. يتم تحميل البيانات المحصودة إلى Google Drive باستخدام رمز تحديث مبرمج مسبقًا.
  • Grager : تم اكتشاف باب خلفي جديد في أبريل 2024، يستهدف المنظمات في تايوان وهونج كونج وفيتنام. ويتواصل مع خادم Command-and-Control (C&C) المُستضاف على Microsoft OneDrive عبر واجهة برمجة التطبيقات Graph. ويرتبط هذا النشاط بشكل مؤقت بالجهة الصينية المُشتبه بها والمعروفة باسم UNC5330.
  • MoonTag : باب خلفي مع وظيفة للتفاعل مع واجهة برمجة التطبيقات الرسومية المنسوبة إلى جهة تهديد ناطقة باللغة الصينية.
  • Onedrivetools : برنامج خلفي يستخدم ضد شركات خدمات تكنولوجيا المعلومات في الولايات المتحدة وأوروبا. يستخدم واجهة برمجة التطبيقات Graph للتواصل مع خادم C&C على OneDrive، وتنفيذ الأوامر وحفظ النتائج على نفس المنصة.

رغم أن استخدام الخدمات السحابية للقيادة والتحكم ليس تقنية جديدة، إلا أن اعتمادها بين المهاجمين تزايد في الآونة الأخيرة.

مخاطر العدوى من الباب الخلفي

تشكل البرامج الضارة الخلفية مخاطر كبيرة على المؤسسات أو المستخدمين المتأثرين بها، بما في ذلك:

  • الوصول غير المصرح به : توفر الأبواب الخلفية للمهاجمين إمكانية الوصول المخفي إلى الأنظمة، مما يسمح لهم بتجاوز آليات المصادقة العادية. يمكن أن يؤدي هذا الوصول غير المصرح به إلى اختراق البيانات الحساسة والأنظمة الحيوية.
  • سرقة البيانات : يمكن للمهاجمين استخدام الأبواب الخلفية لاستخراج معلومات سرية، بما في ذلك البيانات الشخصية والملكية الفكرية والسجلات المالية. ويمكن استخدام هذه البيانات المحصودة لسرقة الهوية أو التجسس على الشركات أو بيعها على شبكة الويب المظلمة.
  • التحكم في النظام والتلاعب به : بمجرد تثبيت باب خلفي، يمكن للمهاجمين السيطرة على الأنظمة المتأثرة. يتيح لهم هذا التحكم تنفيذ الأوامر، وتثبيت برامج ضارة إضافية، وتغيير تكوينات النظام، أو التلاعب بالبيانات.
  • اختراق الشبكة : غالبًا ما تسهل الأبواب الخلفية التحرك الجانبي داخل الشبكة. يمكن للمهاجمين استخدام اختراق أولي للتحرك جانبيًا عبر الأنظمة المتصلة، مما قد يؤثر على الشبكات بأكملها ويزيد من نطاق هجومهم.
  • تعطيل العمليات : يمكن أن تتسبب البرامج الضارة الخلفية في تعطيل العمليات التجارية العادية من خلال التسبب في فشل النظام أو حذف أو تشفير الملفات المهمة أو التسبب في مشكلات في الأداء. وقد يؤدي هذا إلى توقف التشغيل والخسائر المالية.
  • التجسس والمراقبة : يمكن استخدام الأبواب الخلفية للتجسس، مما يسمح للمهاجمين بمراقبة وتسجيل أنشطة المستخدم والاتصالات والتفاعلات. يمكن أن تؤدي هذه المراقبة إلى المساس بالخصوصية وتؤدي إلى تسريب المعلومات الحساسة.
  • الإضرار بالسمعة : إن وجود برامج ضارة من الخلف يمكن أن يضر بالسمعة الطيبة للمؤسسة، مما يؤدي إلى فقدان ثقة العملاء. ويمكن أن يكون لهذا آثار طويلة المدى على العلاقات التجارية والمكانة في السوق.
  • العواقب التنظيمية والقانونية : قد تواجه المؤسسات عواقب قانونية وتنظيمية إذا لم تتمكن من حماية البيانات الحساسة. يمكن أن تؤدي خروقات البيانات التي تنطوي على برامج ضارة خلفية إلى غرامات وإجراءات قانونية وقضايا امتثال.

باختصار، تشكل البرمجيات الخبيثة من الباب الخلفي تهديدًا متعدد الأوجه يمكن أن يعرض الأمن والخصوصية وسلامة التشغيل للخطر، مما يجعل من الضروري للمؤسسات والمستخدمين استخدام تدابير أمنية قوية والبقاء يقظين ضد الاختراقات المحتملة.

الشائع

عملية احتيال المتبني المبكر لـ LYRA

Phishing, Spam
إن عملية احتيال المتبني المبكر لـ LYRA عبارة عن مخطط خادع حيث قام المحتالون بإنشاء نسخة احتيالية من موقع LYRA الشرعي (lyra[.]finance). يهدف هذا الموقع المزيف، Register-lyra[.]finance، إلى خداع الزائرين المطمئنين للقيام بأعمال تؤدي إلى خسارة أموالهم من العملات المشفرة. يتم حث المستخدمين على تجنب التفاعل مع موقع الاحتيال هذا. وفقًا للجنة التجارة الفيدرالية (FTC)، منذ بداية عام 2021، أبلغ أكثر من...

الأكثر مشاهدة

احتيال البريد الإلكتروني "Geek Squad"

Phishing, Spam
38,375
أصبح Geek Squad ، وهو مزود دعم تقني شهير ، ضحية لعملية احتيال تصيد احتيالية تسمى Geek Squad Email الاحتيال. تستخدم عملية احتيال الدعم الفني هذه رسائل بريد إلكتروني مزيفة تخدع الأشخاص للتخلي عن معلوماتهم الشخصية ، مثل تفاصيل بطاقة الائتمان وعناوين البريد الإلكتروني وحتى أرقام الضمان الاجتماعي. في هذه المقالة ، سنناقش عملية الاحتيال نفسها ، وشكلها ، ومن أين تأتي رسائل البريد الإلكتروني المزيفة ،...
جار التحميل...