برامج ضارة لـ Tickler

استخدمت جهة تهديد مدعومة من الدولة الإيرانية بابًا خلفيًا مخصصًا تم تطويره حديثًا في الهجمات التي تستهدف المنظمات في الولايات المتحدة والإمارات العربية المتحدة. قامت مجموعة القرصنة APT33 ، المعروفة أيضًا باسم Peach Sandstorm وRefined Kitten، بنشر برامج ضارة غير معروفة سابقًا، والتي يتم تعقبها الآن باسم Tickler، لاختراق شبكات المنظمات في قطاعات الحكومة والدفاع والأقمار الصناعية والنفط والغاز. وفقًا للباحثين، استخدمت هذه المجموعة، التي تعمل تحت إشراف الحرس الثوري الإسلامي الإيراني (IRGC)، البرامج الضارة في حملة لجمع المعلومات الاستخباراتية بين أبريل ويوليو 2024. خلال هذه الهجمات، استخدم المتسللون البنية الأساسية لـ Microsoft Azure لعمليات القيادة والتحكم (C2)، بالاعتماد على اشتراكات Azure الاحتيالية التي عطلتها الشركة منذ ذلك الحين.

القطاعات الحيوية المستهدفة بعملية الهجوم

في الفترة ما بين أبريل ومايو 2024، استهدفت مجموعة APT33 مؤسسات في قطاعات الدفاع والفضاء والتعليم والحكومة من خلال هجمات رش كلمات المرور الناجحة. وتضمنت هذه الهجمات محاولة الوصول إلى حسابات متعددة باستخدام مجموعة محدودة من كلمات المرور المستخدمة بشكل شائع لتجنب التسبب في إغلاق الحسابات.

وعلى الرغم من ملاحظة نشاط رش كلمات المرور عبر قطاعات مختلفة، لاحظ الباحثون أن Peach Sandstorm استغلت على وجه التحديد حسابات المستخدمين المخترقة في قطاع التعليم لإنشاء البنية التحتية التشغيلية الخاصة بها. وقد قام الجناة بالوصول إلى اشتراكات Azure الحالية أو إنشاء اشتراكات جديدة باستخدام الحسابات المخترقة لاستضافة البنية التحتية الخاصة بهم. ثم تم استخدام بنية Azure التحتية هذه في عمليات أخرى تستهدف قطاعات الحكومة والدفاع والفضاء.

على مدار العام الماضي، نجحت Peach Sandstorm في التسلل إلى العديد من المنظمات ضمن هذه القطاعات باستخدام أدوات تم تطويرها خصيصًا.

برنامج Tickler الخبيث يمهد الطريق لمزيد من التهديدات الخبيثة

تم تحديد Tickler على أنه باب خلفي مخصص ومتعدد المراحل يسمح للمهاجمين بتثبيت برامج ضارة إضافية على الأنظمة المخترقة. وفقًا لمايكروسوفت، يمكن للحمولات الضارة المرتبطة بـ Tickler جمع معلومات النظام وتنفيذ الأوامر وحذف الملفات وتنزيل أو تحميل الملفات من وإلى خادم Command and Control (C&C).

حملات سابقة لمكافحة الجرائم الإلكترونية APT33

في نوفمبر 2023، استخدمت مجموعة التهديد الإيرانية تكتيكًا مشابهًا لاختراق شبكات المقاولين الدفاعيين على مستوى العالم، ونشرت برنامج FalseFont الخبيث. قبل شهرين، أصدر الباحثون تحذيرًا بشأن حملة APT33 أخرى كانت تستهدف آلاف المؤسسات في جميع أنحاء العالم من خلال هجمات رش كلمات المرور المكثفة منذ فبراير 2023، مما أدى إلى حدوث خروقات في قطاعات الدفاع والأقمار الصناعية والأدوية.

لتعزيز الأمان ضد التصيد الاحتيالي واختطاف الحسابات، أعلنت Microsoft أنه اعتبارًا من 15 أكتوبر، سيصبح المصادقة متعددة العوامل (MFA) إلزامية لجميع محاولات تسجيل الدخول إلى Azure.

قد تؤدي البرامج الخبيثة الخلفية إلى عواقب وخيمة على الضحايا

تشكل البرامج الضارة التي تعمل من خلال الباب الخلفي مخاطر كبيرة على كل من المستخدمين الأفراد والمؤسسات من خلال توفير وصول غير مصرح به إلى الأنظمة المخترقة. بمجرد تثبيتها، تعمل البرامج الضارة التي تعمل من خلال الباب الخلفي على إنشاء نقاط دخول مخفية تسمح للمهاجمين بتجاوز تدابير الأمان التقليدية والسيطرة على شبكة الضحية. يمكن أن يؤدي هذا الوصول المرتفع إلى مجموعة من العواقب الوخيمة.

أولاً، تمكن البرامج الخبيثة من الباب الخلفي المهاجمين من جمع معلومات حساسة، بما في ذلك البيانات الشخصية والسجلات المالية والملكية الفكرية. ويمكن استخدام هذه البيانات المجمعة لسرقة الهوية أو الاحتيال المالي أو التجسس على الشركات. بالإضافة إلى ذلك، يمكن للبرامج الخبيثة تسهيل المزيد من الهجمات من خلال تمكين تثبيت برامج خبيثة إضافية، بما في ذلك برامج الفدية، والتي يمكنها تشفير الملفات المهمة والمطالبة بفدية مقابل إطلاق سراحها.

ثانيًا، يمكن للبرمجيات الخبيثة التي تأتي من خلف الأبواب الخلفية أن تضر بسلامة النظام وتعطل العمليات. ويمكن للمهاجمين التلاعب بالملفات المهمة أو حذفها، والتلاعب بتكوينات النظام، وتعطيل أدوات الأمان، مما يؤدي إلى توقف التشغيل وخسائر مالية كبيرة. ويمكن أن يكون هذا التعطيل ضارًا بشكل خاص لقطاعات البنية الأساسية الحيوية، مثل الرعاية الصحية، والتمويل، والطاقة، حيث يمكن أن تؤثر انقطاعات النظام على السلامة العامة والخدمات.

علاوة على ذلك، غالبًا ما تسهل البرامج الخبيثة من الباب الخلفي عمليات المراقبة والتجسس الخفية. يمكن للمهاجمين مراقبة أنشطة المستخدم، والتقاط ضربات المفاتيح، والوصول إلى بث كاميرا الويب دون علم الضحية، مما يؤدي إلى انتهاكات الخصوصية والمعلومات السرية.

باختصار، تشكل البرامج الخبيثة التي تعمل من خلال الباب الخلفي مخاطر جسيمة من خلال تقويض أمن البيانات وسلامة العمليات والخصوصية. كما أن قدرتها على توفير وصول مستمر وغير مصرح به تجعلها تهديدًا قويًا يتطلب تدابير أمنية قوية ومراقبة يقظة للتخفيف من تأثيرها.

الشائع

الأكثر مشاهدة

جار التحميل...