خصومات التراخيص المتعددة
Threat Database Malware سوبر بير رات

سوبر بير رات

بواسطة Mezo في Malware, Advanced Persistent Threat (APT), Remote Administration Tools
ترجمة الى:
العربية

كشفت حملة تصيد احتيالي، من المحتمل أن تركز على منظمات المجتمع المدني في كوريا الجنوبية، عن تهديد غير معروف سابقًا من نوع RAT (حصان طروادة للوصول عن بعد) يُسمى SuperBear. حدد المتخصصون الأمنيون هذا التهديد في حادثة تتعلق بناشط مجهول تلقى ملف LNK تم التلاعب به في نهاية أغسطس 2023. يحاكي عنوان البريد الإلكتروني للمرسل المخادع عضوًا في المنظمة غير الربحية المستهدفة.

توفر سلسلة الهجوم متعددة المراحل حمولة SuperBear

عند التنشيط، يقوم ملف LNK بتشغيل أمر PowerShell لبدء تنفيذ البرنامج النصي Visual Basic. يقوم هذا البرنامج النصي بدوره باسترداد حمولات المرحلة اللاحقة من موقع WordPress الشرعي والمخترق.

تشتمل هذه الحمولة على مكونين: الملف الثنائي Autoit3.exe، المحدد باسم "solmir.pdb"، والبرنامج النصي AutoIt المعروف باسم "solmir_1.pdb". الأول بمثابة آلية إطلاق للأخير.

يستخدم البرنامج النصي AutoIt بدوره تقنية حقن عملية تسمى تفريغ العملية. تتضمن هذه التقنية إدخال تعليمات برمجية سيئة في عملية معلّقة. في هذه الحالة، يقوم بإنشاء مثيل جديد لـ Explorer.exe لتسهيل حقن ملف SuperBear RAT الذي لم يسبق له مثيل.

ينفذ SuperBear RAT إجراءات عدوانية على الأنظمة المعرضة للخطر

ينفذ SuperBear RAT ثلاث عمليات هجوم أساسية: استخراج بيانات العملية والنظام، وتنفيذ أوامر shell، وتشغيل ملف DLL. افتراضيًا، يقوم خادم C2 بتوجيه العملاء إلى استخراج بيانات النظام ومعالجتها، وهي خاصية ترتبط غالبًا بحملات الهجوم التي تركز على جهود الاستطلاع.

بالإضافة إلى ذلك، يمكن للجهات الفاعلة في مجال التهديد توجيه RAT لتنفيذ أوامر shell أو تنزيل ملف DLL مخترق على الجهاز المصاب. في الحالات التي يحتاج فيها ملف DLL إلى اسم ملف، سيحاول إنشاء اسم عشوائي؛ إذا لم ينجح الأمر، فسيتم تعيينه افتراضيًا على الاسم "SuperBear". حصل هذا التهديد على اسمه من هذا السلوك، مما يعكس أسلوب إنشاء اسم الملف الديناميكي الخاص به.

يُنسب الهجوم مبدئيًا إلى جهة فاعلة تابعة لدولة كورية شمالية تُعرف باسم Kimsuky (يُشار إليها أيضًا باسم APT43 أو بأسماء مستعارة مثل Emerald Sleet وNickel Kimball وVelvet Chollima). يتم استخلاص هذا الإسناد من التشابه بين ناقل الهجوم الأولي وأوامر PowerShell المستخدمة.

يمكن تخصيص تهديدات RAT لتناسب أجندة مجرمي الإنترنت

تشكل تهديدات RAT (حصان طروادة للوصول عن بعد) التي يمكن تخصيصها لتناسب أجندة مجرمي الإنترنت مخاطر كبيرة نظرًا لطبيعتها المتنوعة والقابلة للتكيف. فيما يلي بعض المخاطر الرئيسية المرتبطة بمثل هذه التهديدات:

  • التحكم عن بعد غير المقيد : توفر RATs لمجرمي الإنترنت إمكانية الوصول الكامل وغير المقيد إلى النظام المصاب. يتيح لهم هذا المستوى من التحكم تنفيذ مجموعة واسعة من الأنشطة الضارة، بما في ذلك سرقة البيانات والمراقبة والتلاعب بالنظام، وكل ذلك دون علم الضحية أو موافقتها.

  • سرقة البيانات : يمكن لمجرمي الإنترنت استخدام RATs لجمع معلومات حساسة مثل البيانات الشخصية والسجلات المالية وبيانات اعتماد تسجيل الدخول والملكية الفكرية والمزيد. يمكن بيع البيانات المجمعة على شبكة الإنترنت المظلمة أو استخدامها لسرقة الهوية أو الاحتيال المالي أو التجسس على الشركات.

  • التجسس والمراقبة : غالبًا ما تُستخدم برامج RAT القابلة للتخصيص لأغراض التجسس، مما يمكّن مجرمي الإنترنت من مراقبة وتسجيل أنشطة الضحية، والتقاط لقطات الشاشة، وتسجيل ضغطات المفاتيح، وحتى تنشيط كاميرا الويب والميكروفون الخاصين بالضحية. يمكن أن يؤدي ذلك إلى حدوث انتهاكات للخصوصية وجمع معلومات شخصية أو معلومات خاصة بالشركة.

  • الوصول المستمر : تم تصميم RATs للحفاظ على الوصول المستمر إلى النظام المصاب، مما يسمح لمجرمي الإنترنت بالتحكم في الجهاز المخترق لفترة طويلة. وهذا الاستمرار يجعل من الصعب على الضحايا اكتشاف البرامج الضارة وإزالتها، مما يوفر للمهاجمين موطئ قدم مستمر في النظام.

  • الانتشار والانتشار : يمكن برمجة RATs المخصصة لتنتشر إلى أنظمة أخرى داخل الشبكة، مما قد يؤدي إلى اختراق أجهزة متعددة وحتى مؤسسات بأكملها. يمكن أن يؤدي ذلك إلى أضرار واسعة النطاق وانتهاكات للبيانات واضطرابات تشغيلية.

  • الهجمات المخصصة : يمكن لمجرمي الإنترنت تصميم RATs لتنفيذ نواقل هجوم محددة، مما يجعل من الصعب على برامج الأمان اكتشافها ومنعها. يمكن تصميم هذه الهجمات لاستهداف مؤسسات أو صناعات أو أفراد محددين، مما يزيد من فرص النجاح.

  • تجنب الكشف : غالبًا ما تشتمل برامج التحكم عن بعد المخصصة على تقنيات مضادة للاكتشاف، بما في ذلك التشفير والتشويش وتعدد الأشكال، مما يجعل من الصعب على الحلول الأمنية تحديد التهديد والتخفيف منه. وهذا يسمح للمهاجمين بالبقاء مخفيين وتجنب اكتشافهم لفترات طويلة.

  • نشر برامج الفدية : يمكن استخدام RATs كوسيلة لتوصيل حمولات برامج الفدية، أو حجب الضحايا عن أنظمتهم الخاصة أو تشفير بياناتهم. يمكن لمجرمي الإنترنت بعد ذلك أن يطلبوا فدية مقابل مفتاح فك التشفير، مما يتسبب في اضطرابات مالية وتشغيلية.

  • تشكيل شبكة الروبوتات : يمكن استخدام برامج RAT القابلة للتخصيص لتجنيد الأجهزة المصابة في شبكة الروبوتات، والتي يمكن بعد ذلك الاستفادة منها لأغراض ضارة مختلفة، مثل هجمات رفض الخدمة الموزعة (DDoS)، أو توزيع البريد العشوائي، أو زيادة انتشار البرامج الضارة.

باختصار، تشكل تهديدات RAT التي يمكن تخصيصها لتناسب أهداف مجرمي الإنترنت خطرًا متعدد الأوجه، لأنها تتيح نطاقًا واسعًا من الأنشطة غير الآمنة مع احتمال حدوث أضرار مالية وتشغيلية كبيرة وأضرار بسمعة الأفراد والمنظمات، وحتى قطاعات بأكملها. لمكافحة هذه التهديدات، من الضروري اتخاذ تدابير قوية للأمن السيبراني، بما في ذلك التحديثات المنتظمة وتدريب الموظفين والأدوات المتقدمة للكشف عن التهديدات والوقاية منها.

الشائع

الأكثر مشاهدة

احتيال البريد الإلكتروني "Geek Squad"

Phishing, Spam
15,882
أصبح Geek Squad ، وهو مزود دعم تقني شهير ، ضحية لعملية احتيال تصيد احتيالية تسمى Geek Squad Email الاحتيال. تستخدم عملية احتيال الدعم الفني هذه رسائل بريد إلكتروني مزيفة تخدع الأشخاص للتخلي عن معلوماتهم الشخصية ، مثل تفاصيل بطاقة الائتمان وعناوين البريد الإلكتروني وحتى أرقام الضمان الاجتماعي. في هذه المقالة ، سنناقش عملية الاحتيال نفسها ، وشكلها ، ومن أين تأتي رسائل البريد الإلكتروني المزيفة ،...
جار التحميل...