تماماRAT
نشرت مجموعة قرصنة سيئة السمعة تعمل نيابة عن كوريا الشمالية نوعًا جديدًا من البرامج الضارة لاستهداف مؤسسات الرعاية الصحية والبنية التحتية الحيوية للإنترنت في جميع أنحاء أوروبا والولايات المتحدة. تشترك هذه السلالة المتقدمة من البرامج الضارة، التي حددها الباحثون باسم QuiteRAT، في العديد من الخصائص مع سلالات البرامج الضارة التي تمت ملاحظتها مسبقًا والتي تستخدمها مجموعة Lazarus APT . ومع ذلك، فهي تمتلك مستوى مرتفعًا من التعقيد، مما يجعل من الصعب جدًا على المدافعين تحليلها والتصدي لها. بالإضافة إلى ذلك، خلال مرحلة الاختراق الأولية لعملياتهم، استفاد المتسللون أيضًا من الأدوات والأطر مفتوحة المصدر، كما هو مفصل في نتائج البحث.
جدول المحتويات
لا يزال لازاروس ممثلًا نشطًا للغاية في مشهد الجرائم الإلكترونية
سلط محللون أمنيون الضوء على سلسلة من العمليات الهجومية التي شملت مجموعة القرصنة Lazarus الراسخة، والتي اكتسبت سمعة سيئة بسبب سرقتها المزعومة لعملة مشفرة بقيمة 1.7 مليار دولار في عام 2022. ومن اللافت للنظر، أنه في غضون أقل من عام، تمكنت هذه المجموعة من تم ربطها بثلاث حملات موثقة. تُظهر عمليات المجرمين الإلكترونيين إعادة استخدام بنية تحتية متطابقة عبر هذه العمليات.
أثار اعتماد Lazarus للأدوات مفتوحة المصدر مخاوف بسبب تأثيرها على عملية الإسناد وتسريع دورة الاستغلال. ومن خلال استخدام أدوات مفتوحة المصدر، يتمكن المتسللون من تقليل الشكوك والتحايل على الحاجة إلى بناء القدرات من الصفر. ومن الجدير بالذكر أن العديد من الأدوات مفتوحة المصدر، والتي كانت مخصصة في الأصل للمهام الدفاعية والهجومية المشروعة، أصبحت جزءًا من الترسانات الخبيثة لمختلف مجموعات المجرمين السيبرانيين.
استغلال الثغرات الأمنية في مجموعة برامج الأعمال الشهيرة
تشمل الحوادث المبلغ عنها استغلال الثغرة الأمنية التي تؤثر على ManageEngine ServiceDesk. يتم استخدام المجموعة التي تقدمها ManageEngine عبر العديد من المؤسسات، بما في ذلك غالبية مؤسسات Fortune 100. يتم استخدام البرنامج في إدارة البنية التحتية لتكنولوجيا المعلومات والشبكات والخوادم والتطبيقات ونقاط النهاية والوظائف الأخرى. وفي شهر يناير، اعترفت الشركة المسؤولة عن المنتج رسميًا بوجود الثغرة الأمنية، والتي تحمل الاسم CVE-2022-47966. أصدرت شركات أمنية مختلفة تنبيهات بشأن استغلالها النشط من قبل جهات ضارة.
يظل برنامج QuiteRAT مخفيًا على الأجهزة المخترقة
يعمل برنامج QuiteRAT على تمكين المتسللين من جمع المعلومات من الجهاز المخترق. وقد تم تجهيز التهديد أيضًا بوظيفة تمكنه من الدخول في وضع "السكون" لفترات محددة مسبقًا، مما يسهل إخفاء وجوده داخل شبكة مخترقة.
بالمقارنة مع سابقتها، MagicRAT، التي كشف عنها قراصنة Lazarus في أبريل 2022، تتميز QuiteRAT بحجم أصغر بشكل ملحوظ. يبلغ حجمه من 4 إلى 5 ميجابايت فقط، ويرجع ذلك أساسًا إلى إغفال قدرات الثبات الكامنة داخل الشبكة المخترقة. ونتيجة لذلك، يحتاج المتسللون إلى تقديم ميزة استمرارية منفصلة لاحقًا.
تشير أوجه التشابه بين الغرسات إلى أن QuiteRAT ينبع من سلالة MagicRAT . وبعيدًا عن اعتمادهما المشترك على إطار عمل Qt، فإن كلا التهديدين يظهران وظائف مماثلة، بما في ذلك تنفيذ أوامر عشوائية على النظام المصاب.
بالتزامن مع البرمجيات الخبيثة QuiteRAT، لاحظ الباحثون أن مجموعة Lazarus تستخدم تهديدًا آخر لم يكن معروفًا من قبل يُطلق عليه اسم "CollectionRAT". تعرض هذه البرامج الضارة إمكانات حصان طروادة للوصول عن بعد (RAT) القياسية، مما يمكنها من تنفيذ أوامر عشوائية على الأنظمة المخترقة.
