بيور كريبتر

تهاجم مجموعة من مجرمي الإنترنت الكيانات الحكومية في منطقة آسيا والمحيط الهادئ (APAC) وأمريكا الشمالية باستخدام أداة تنزيل البرامج الضارة تسمى PureCrypter. تمكن مجرمو الإنترنت الذين يقفون وراء الهجوم من التسلل إلى أنظمة هذه المنظمات وجمع معلومات حساسة أو ، في بعض الحالات ، احتجاز نظامهم كرهينة من خلال استخدام برامج الفدية. تتفاقم خطورة الهجوم بسبب حقيقة أن هذه الكيانات الحكومية غالبًا ما تخزن معلومات حساسة وسرية ، مما يجعلها أهدافًا رئيسية لمجرمي الإنترنت.

اكتشف باحثو الأمن أن الجهات الفاعلة المهددة استغلت Discord لاستضافة الحمولة الأولية وعرّضت أيضًا منظمة غير ربحية للخطر كطريقة لكسب مضيفين إضافيين مستخدمين في الحملة. هذا يعني أن المهاجمين استخدموا نظامًا أساسيًا شرعيًا مثل Discord لتوزيع الحمولة الأولية للبرامج الضارة ، مما يجعل من الصعب على أنظمة الأمان اكتشافها وحظرها. تشتهر البرامج الضارة بتقديم العديد من سلالات البرامج الضارة المختلفة ، بما في ذلك Redline Stealer و AgentTesla و Eternity و Blackmoon و Philadelphia Ransomware .

PureCrypter هو جزء من سلسلة هجوم متعددة المراحل

يبدأ الهجوم الذي يستخدم أداة تنزيل البرامج الضارة PureCrypter من خلال رسالة بريد إلكتروني تحتوي على عنوان URL لتطبيق Discord. يؤدي عنوان URL هذا إلى عينة PureCrypter مضمنة في أرشيف ZIP محمي بكلمة مرور. PureCrypter هو برنامج تنزيل للبرامج الضارة يعمل على الأنظمة المستندة إلى .NET. يقوم مشغلها بتأجيره لمجرمي الإنترنت الآخرين بغرض توزيع أنواع مختلفة من البرامج الضارة. بمجرد تنفيذ PureCrypter ، فإنه يجلب ويسلم حمولة المرحلة التالية من خادم الأوامر والتحكم (C2 ، C&C). في هذه الحالة المحددة ، كان خادم القيادة والتحكم الذي يستخدمه ممثلو التهديد هو الخادم المخترق لمنظمة غير ربحية.

كانت العينة التي حللها الباحثون هي AgentTesla ، وهو نوع من البرامج الضارة التي تجمع المعلومات من كمبيوتر الضحية. بمجرد إطلاقه ، ينشئ AgentTesla اتصالاً بخادم FTP في باكستان لإرسال البيانات التي تم جمعها. الأمر المثير للاهتمام هو أن الجهات الفاعلة في التهديد لم تقم بإعداد خادم FTP الخاص بها ، بل استخدمت بيانات اعتماد مسربة للسيطرة على خادم موجود. باستخدام خادم تم اختراقه بالفعل ، فإنها تقلل من مخاطر التعرف عليها وتقليل تتبعها.

لا تزال AgentTesla أداة تهدد الجرائم الإلكترونية

AgentTesla هو نوع من البرمجيات الخبيثة .NET التي استخدمها مجرمو الإنترنت على مدار السنوات الثماني الماضية ، وبلغ استخدامه ذروته في أواخر عام 2020 وأوائل عام 2021. على الرغم من تقدمه ، لا يزال AgentTesla يمثل بابًا خلفيًا عالي القدرة وفعالًا من حيث التكلفة والذي ظل باستمرار تم تطويره وتحسينه على مر السنين.

تتمثل إحدى القدرات الرئيسية لـ AgentTesla في القدرة على تسجيل ضربات مفاتيح الضحية ، مما يسمح لمجرمي الإنترنت بالتقاط معلومات حساسة ، مثل كلمات المرور. قد تجمع البرامج الضارة أيضًا كلمات المرور المحفوظة في عملاء FTP أو متصفحات الويب أو عملاء البريد الإلكتروني. بالإضافة إلى ذلك ، يمكن لـ AgentTesla التقاط لقطات شاشة لسطح مكتب الضحية ، مما قد يكشف عن معلومات سرية. كما يجوز له الوصول إلى أي بيانات يتم نسخها إلى حافظة النظام واعتراضها ، بما في ذلك النصوص وكلمات المرور وتفاصيل بطاقة الائتمان. بمجرد جمع البيانات ، يمكن نقلها إلى خادم الأوامر والتحكم (C2) عبر FTP أو SMTP.

في هجمات PureCrypter ، استخدم ممثلو التهديد تقنية تسمى "عملية التفريغ" لحقن حمولة AgentTesla في عملية شرعية تسمى "cvtres.exe". تساعد هذه التقنية في تجنب الكشف عن أدوات الأمان.

للحفاظ على أمان اتصالاته مع خادم C2 وملفات التكوين من أن يتم اكتشافها بواسطة أدوات مراقبة حركة مرور الشبكة ، يستخدم AgentTesla تشفير XOR. تجعل طريقة التشفير هذه من الصعب على أنظمة الأمان اكتشاف اتصال البرامج الضارة بخادم C2 ، مما يجعل اكتشافها والتخفيف من حدتها تهديدًا صعبًا.