خصومات التراخيص المتعددة
Threat Database Malware البرامج الضارة SIGNBT

البرامج الضارة SIGNBT

بواسطة Mezo في Malware, Advanced Persistent Threat (APT)
ترجمة الى:
العربية

تم التعرف على مجموعة لازاروس، المرتبطة بكوريا الشمالية، باعتبارها الجهة المرتكبة للحملة الإلكترونية الأخيرة. في هذه العملية، وقع بائع برامج مجهول الهوية ضحية هجوم تم تسهيله من خلال استغلال الثغرات الأمنية المعروفة في برنامج بارز. أدت سلسلة الهجمات في النهاية إلى تقديم عائلات برمجيات تهديدية، بما في ذلك SIGNBT.

علاوة على ذلك، استخدم المهاجمون أداة قرصنة معترف بها على نطاق واسع يستخدمها عادةً ممثل التهديد هذا في أنشطة مثل تحديد هوية الضحايا المحتملين وتسليم الحمولات. يُشار إلى هذه الأداة باسم LPEClient في تتبع الجهود.

استهدفت مجموعة قراصنة APT (التهديد المستمر المتقدم) نفس الضحية بشكل متكرر

أظهر استخدام البرمجيات الخبيثة SIGNBT في هذا الهجوم عملية عدوى متعددة الأوجه واستخدم تقنيات متقدمة. استمرت مجموعة Lazarus في استغلال نقاط الضعف في برامج الشركة المستهدفة بهدف اختراق مطوري البرامج الآخرين. وفي أحدث أنشطتهم، تم التعرف على العديد من الضحايا اعتبارًا من منتصف يوليو 2023.

تعرض هؤلاء الضحايا لهجوم عبر برنامج أمني شرعي مصمم لتشفير اتصالات الويب من خلال الشهادات الرقمية. لم يتم الكشف عن اسم البرنامج، ولم يتم الكشف عن الطريقة الدقيقة التي تم من خلالها تسليحه لتوزيع SIGNBT.

بالإضافة إلى استخدام مجموعة من الاستراتيجيات لإنشاء موطئ قدم على الأنظمة المخترقة والحفاظ عليها، استخدمت تسلسلات الهجوم أداة تحميل في الذاكرة كانت بمثابة قناة لإطلاق البرامج الضارة SIGNBT.

تتصل برامج SIGNBT الضارة بخادم C2 للحصول على تعليمات إضافية

الغرض الأساسي من SIGNBT هو إنشاء اتصال مع خادم بعيد واسترجاع المزيد من التعليمات للتنفيذ على المضيف المصاب. تكتسب هذه البرامج الضارة اسمها من استخدامها لسلاسل مميزة مسبوقة بـ "SIGNBT" في اتصالات الأوامر والتحكم (C2) المستندة إلى HTTP:

  • SIGNBTLG، للاتصال الأولي

  • SIGNBTKE، لجمع بيانات تعريف النظام عند تلقي رسالة نجاح من خادم C2

  • SIGNBTGC، لجلب الأوامر

  • SIGNBTFI، لمعالجة فشل الاتصالات

  • SIGNBTSR، للإشارة إلى التواصل الناجح

وفي الوقت نفسه، تم تجهيز الباب الخلفي لنظام Windows بمجموعة واسعة من الإمكانات التي تهدف إلى التحكم في نظام الضحية. تتضمن هذه الإمكانات تعداد العمليات وتنفيذ عمليات الملفات والدليل ونشر الحمولات مثل LPEClient وأدوات أخرى لاستخراج بيانات الاعتماد.

تواصل مجموعة Lazarus تطوير تقنياتها وترسانة البرامج الضارة

في عام 2023 فقط، حدد الباحثون ما لا يقل عن ثلاث حملات لعازر متميزة. استخدمت هذه الحملات أساليب اقتحام وإجراءات عدوى مختلفة. ومع ذلك، فقد استخدموا البرامج الضارة LPEClient باستمرار لتقديم المرحلة النهائية من البرامج غير الآمنة.

لعبت إحدى هذه الحملات دورًا محوريًا في إدخال الغرسة المعروفة باسم جوبورام. تم استخدام هذا الزرع في الهجمات الإلكترونية الموجهة إلى شركات العملات المشفرة، وذلك باستخدام نسخة معدلة من برنامج مؤتمرات الصوت والفيديو 3CX.

تمثل هذه النتائج الأخيرة العمليات السيبرانية المستمرة المرتبطة بكوريا الشمالية وتؤكد التطوير المستمر لمجموعة Lazarus وتوسيع ترسانتها من الأدوات والاستراتيجيات والتقنيات. تظل مجموعة Lazarus جهة فاعلة نشطة وقابلة للتكيف في مشهد الأمن السيبراني المعاصر.

الشائع

الأكثر مشاهدة

احتيال البريد الإلكتروني "Geek Squad"

Phishing, Spam
20,027
أصبح Geek Squad ، وهو مزود دعم تقني شهير ، ضحية لعملية احتيال تصيد احتيالية تسمى Geek Squad Email الاحتيال. تستخدم عملية احتيال الدعم الفني هذه رسائل بريد إلكتروني مزيفة تخدع الأشخاص للتخلي عن معلوماتهم الشخصية ، مثل تفاصيل بطاقة الائتمان وعناوين البريد الإلكتروني وحتى أرقام الضمان الاجتماعي. في هذه المقالة ، سنناقش عملية الاحتيال نفسها ، وشكلها ، ومن أين تأتي رسائل البريد الإلكتروني المزيفة ،...
جار التحميل...