عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد التصيد الاحتيالي PHANTOMPULSE RAT

PHANTOMPULSE RAT

بواسطة Mezo في التصيد الاحتيالي, أدوات الإدارة عن بعد
ترجمة الى:

ظهرت حملة هندسة اجتماعية متطورة تستغل منصة Obsidian كنقطة وصول أولية لنشر حصان طروادة للوصول عن بُعد إلى نظام ويندوز، وهو برنامج غير موثق سابقًا يُعرف باسم PHANTOMPULSE. تستهدف الحملة تحديدًا الأفراد العاملين في القطاعين المالي وقطاع العملات المشفرة، مستغلةً ثقتهم في الأدوات المشروعة لتجاوز معايير الأمان التقليدية.

العملية رقم REF6598: الخداع من خلال الشبكات المهنية

تُعرف هذه الحملة، التي أطلق عليها باحثو الأمن السيبراني اسم REF6598، بتقنيات الهندسة الاجتماعية المتقدمة عبر منصتي لينكدإن وتليجرام. يتم التواصل مع الضحايا في البداية بحجة التعاون مع شركة رأس مال مخاطر، ثم تُحوّل المحادثات لاحقًا إلى مجموعات دردشة على تليجرام تضم أعضاءً منتحلين لشخصيات "شركاء"، مما يخلق واجهة مقنعة من الشرعية.

ضمن هذه المجموعات، تدور النقاشات حول الخدمات المالية واستراتيجيات سيولة العملات المشفرة، مما يعزز المصداقية. وفي نهاية المطاف، يُطلب من الضحايا الوصول إلى لوحة تحكم مشتركة عبر خزنة Obsidian المستضافة على السحابة باستخدام بيانات الاعتماد المقدمة.

المحفز الخفي: تفعيل الخزنة الخبيثة

تبدأ سلسلة العدوى عندما يفتح الضحية الخزنة المشتركة داخل أوبسيديان. في هذه المرحلة، يُطلب من المستخدم تفعيل مزامنة "المكونات الإضافية المُثبّتة من المجتمع"، وهي ميزة مُعطّلة افتراضيًا. يُعدّ هذا الإجراء اليدوي بالغ الأهمية، لأنه يسمح بتنفيذ التكوينات الخبيثة المُضمّنة.

يستغل المهاجمون إضافات شرعية، وتحديدًا Shell Commands وHider، لتشغيل تعليمات برمجية غير مصرح بها. فبينما تُسهّل Shell Commands عملية التنفيذ، تُخفي Hider عناصر واجهة المستخدم مثل شريط الحالة وتلميحات الأدوات، مما يقلل من احتمالية اكتشافها. ويعتمد الهجوم كليًا على إقناع المستخدم بتفعيل مزامنة الإضافات، وبالتالي تجاوز إجراءات الحماية المدمجة.

التهرب المتعمد: العيش على الميزات المشروعة

تتميز هذه الحملة باستغلالها الاستراتيجي لوظائف التطبيقات الموثوقة بدلاً من استغلال ثغرات البرامج. ومن أبرز سماتها:

  • يتم تضمين الحمولات الخبيثة داخل ملفات تكوين JSON، مما يجعلها أقل عرضة لتفعيل الكشف التقليدي لبرامج مكافحة الفيروسات.
  • يتم التنفيذ من خلال تطبيق قائم على Electron وموقع، مما يعقد عملية الكشف القائمة على العملية الأصلية.
  • يعتمد استمرار البيانات وتنفيذ الأوامر بشكل كامل على آليات المكونات الإضافية المشروعة داخل التطبيق

سلسلة إصابة نظام ويندوز: من برنامج التحميل إلى الباب الخلفي المقيم في الذاكرة

في أنظمة ويندوز، يبدأ الهجوم سلسلة تنفيذ تعتمد على PowerShell، تقوم بنشر برنامج تحميل وسيط يُدعى PHANTOMPULL. يقوم هذا البرنامج بفك تشفير PHANTOMPULSE وتشغيله مباشرةً في الذاكرة، متجاوزًا بذلك الكشف القائم على القرص.

تعتمد PHANTOMPULSE على تقنية سلسلة الكتل (البلوك تشين) لحلّ مشكلات التحكم والسيطرة (C2) من خلال الاستعلام عن شبكة إيثيريوم. تسترجع أحدث معاملة مرتبطة بعنوان محفظة مُبرمج مسبقًا لتحديد خادم التحكم والسيطرة الخاص بها بشكل ديناميكي. يتم التواصل عبر بروتوكول WinHTTP، مما يُتيح استخراج البيانات، واسترجاع الأوامر، وإعداد تقارير التنفيذ.

يدعم البرنامج الخبيث مجموعة واسعة من إمكانيات التحكم عن بعد:

  • حقن: يقوم بحقن التعليمات البرمجية الخبيثة أو مكتبات الارتباط الديناميكي أو الملفات التنفيذية في العمليات
  • عملية الإسقاط: تقوم بكتابة الملفات وتنفيذها على القرص
  • لقطة الشاشة: تلتقط بيانات الشاشة وترفعها
  • سجل المفاتيح: يُمكّن أو يُعطّل تسجيل ضغطات المفاتيح
  • إلغاء التثبيت: يزيل آليات الثبات وينظف الملفات المتبقية.
  • رفع الصلاحيات: يرفع الصلاحيات إلى مستوى النظام باستخدام رفع الصلاحيات عبر COM
  • تخفيض مستوى الصلاحيات: يقلل الصلاحيات من مستوى النظام إلى مستوى المسؤول

نسخة macOS: التمويه وبنية التحكم والسيطرة المرنة

في نظام macOS، يستغل الهجوم برنامج AppleScript مُشفرًا يتم إرساله عبر آلية الإضافة نفسها. يتنقل البرنامج النصي بين قائمة محددة مسبقًا من النطاقات، ويستخدم تطبيق Telegram كخادم وسيط احتياطي لاكتشاف خوادم التحكم والسيطرة. يُمكّن هذا التصميم من تغيير البنية التحتية بسرعة، مما يجعل استراتيجيات حظر النطاقات التقليدية غير فعّالة.

تتضمن المرحلة الأخيرة استرجاع وتنفيذ حمولة ثانوية عبر لغة أوسا سكريبت. ومع ذلك، ونظرًا لعدم نشاط خوادم التحكم والسيطرة وقت التحليل، فإن القدرات الكاملة لهذه الحمولة لا تزال غير محددة.

نتائج الهجوم وتداعياته الاستراتيجية

لم ينجح الاختراق المرصود في نهاية المطاف، إذ رصدت التدابير الدفاعية الهجوم وأحبطته قبل تحقيق أهدافه. ومع ذلك، يُسلط المرجع REF6598 الضوء على تطور ملحوظ في منهجية الجهات الفاعلة في التهديدات.

من خلال استغلال التطبيقات الموثوقة والاعتماد على تغييرات التكوين التي يُجريها المستخدمون، يتجاوز المهاجمون ضوابط الأمان التقليدية بفعالية. يُبرز هذا النهج اتجاهًا متناميًا: وهو تسخير خصائص البرامج المشروعة كقنوات تنفيذ سرية، مما يُؤكد الحاجة إلى رفع مستوى وعي المستخدمين ومراقبة سلوكهم في الدفاعات السيبرانية.

الشائع

Mightytechy.com

المواقع المارقة, متصفحات الخاطفين, البرامج غير المرغوب فيها
تُعدّ حماية الأجهزة من التطبيقات المتطفلة وغير الموثوقة جزءًا أساسيًا من الحفاظ على الأمن الرقمي. قد تُغيّر البرامج غير المرغوب فيها (PUPs)، وخاصةً تلك المرتبطة ببرامج اختطاف المتصفح، سلوك النظام...

عملية احتيال دعائية مدعومة بالذكاء الاصطناعي

رسائل إلكترونية مزعجة
كشف باحثو الأمن السيبراني عن حملة احتيال إعلاني متطورة، تحمل الاسم الرمزي "بوشباجاندا"، تجمع بين التلاعب بتحسين محركات البحث (SEO) والمحتوى المُولّد بواسطة الذكاء الاصطناعي. صُممت هذه العملية للتلاعب بمنصات اكتشاف المحتوى، وخاصةً "جوجل ديسكفر"، من خلال الترويج لأخبار مُضللة تبدو حقيقية. والهدف النهائي هو خداع المستخدمين لتفعيل إشعارات المتصفح الدائمة، والتي تُصبح بدورها قنوات لنشر برامج التخويف...

الأكثر مشاهدة

جار التحميل...