عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة برنامج TransferLoader الخبيث

برنامج TransferLoader الخبيث

بواسطة Mezo في البرمجيات الخبيثة, التهديد المستمر المتقدم (APT)
ترجمة الى:

يربط باحثون أمنيون بين جهات معروفة تقف وراء برنامج RomCom RAT وبرنامج تحميل برمجيات خبيثة يُدعى TransferLoader. هذه الحملة، التي استهدفت جهات بهجمات تجسس وهجمات فدية، تُبرز تقنيات متطورة وبنى تحتية متداخلة تتطلب تدقيقًا دقيقًا.

مجموعتان من الجهات الفاعلة في التهديد: TA829 وUNK_GreenSec

عزا باحثو الأمن السيبراني النشاط المرتبط بـ TransferLoader إلى مجموعتين رئيسيتين من الجهات الفاعلة في التهديد:

  • TA829، يتم تعقبه أيضًا تحت أسماء مستعارة مثل RomCom RAT، وCIGAR، وNebulous Mantis، وStorm-0978، وTropical Scorpius، وUAC-0180، وUAT-5647، وUNC2596، وVoid Rabisu.
  • UNK_GreenSec، وهي مجموعة أقل شهرة تعمل بالتوازي مع تكتيكات مماثلة.

تتميز مجموعة TA829 بعملياتها الهجينة، التي تجمع بين التجسس والهجمات ذات الدوافع المالية. وقد سبق لهذه المجموعة، الموالية لروسيا، أن استغلت ثغرات أمنية في متصفحي موزيلا فايرفوكس ومايكروسوفت ويندوز لنشر برنامج RomCom RAT، مستهدفةً بذلك مؤسسات عالمية عالية القيمة.

TransferLoader: الظهور والدور في حملات البرامج الضارة

تم التعرف على TransferLoader لأول مرة في فبراير 2025 خلال حملة استهدفت برنامج Morpheus ransomware، وهو نسخة مُعاد تسميتها من برنامج HellCat ransomware. استُخدم هذا البرنامج الخبيث ضد شركة محاماة أمريكية لم يُكشف عن اسمها. على عكس RomCom، يعمل TransferLoader بشكل أساسي كآلية توصيل خفية، مما يُتيح نشر حمولات خبيثة إضافية مثل Metasploit وMorpheus.

مهمة TransferLoader بسيطة: البقاء دون أن يتم اكتشافك ونشر المزيد من البرامج الضارة.

استغلال البنية التحتية لوكيل REM

يعتمد كلٌّ من TA829 وUNK_GreenSec على خدمات REM Proxy، والتي غالبًا ما تُستضاف على أجهزة توجيه MikroTik مُخترقة. تُستخدم هذه الخوادم الوكيلة لتوجيه حركة مرور البيانات الضارة، وإخفاء مصدرها الحقيقي. تستخدم هذه المجموعات هذه البنية التحتية لـ:

  • إرسال رسائل التصيد الاحتيالي عبر خدمات البريد المجاني (على سبيل المثال، Gmail، ukr.net)
  • نقل حركة المرور لإخفاء النشاط الصاعد
  • إطلاق الحملات باستخدام حسابات البريد الإلكتروني التي تم إنشاؤها حديثًا والمخترقة

يشتبه الباحثون في استخدام أدوات إنشاء البريد الإلكتروني التي تولد عناوين المرسلين بشكل جماعي مثل ximajazehox333@gmail.com و hannahsilva1978@ukr.net لتوزيع رسائل التصيد الاحتيالي.

آليات التصيد الاحتيالي وتسليم الحمولة

غالبًا ما تحتوي رسائل التصيد الاحتيالي المرسلة من كلا المجموعتين على روابط مُضمنة في نص البريد الإلكتروني أو مرفقات PDF. يتعرض الضحايا الذين ينقرون على هذه الروابط لسلسلة من عمليات إعادة التوجيه عبر Rebrandly، والتي تنتهي في النهاية بصفحات مزيفة على Google Drive أو Microsoft OneDrive. تتضمن عمليات إعادة التوجيه هذه آلياتٍ لـ:

  • تجاوز بيئات الحماية
  • تصفية الأنظمة غير ذات الأهمية
  • تسليم حمولات نهائية مختلفة حسب مجموعة التهديد

مسارات الهجوم المتباينة :

  • يستخدم UNK_GreenSec هذا المسار لنشر TransferLoader
  • TA829 يعيد توجيه الأهداف إلى البرامج الضارة SlipScreen

الأدوات والبنية التحتية المشتركة

تُظهر كلتا المجموعتين الفاعلتين مجموعات أدوات متداخلة واختيارات للبنية الأساسية:

  • استخدام أداة PuTTY's PLINK لإنشاء أنفاق SSH
  • استضافة أدوات ضارة على خدمات IPFS (نظام الملفات بين الكواكب)
  • الاستفادة من نقاط نهاية إعادة التوجيه الديناميكية المستندة إلى PHP لتصفية حركة المرور

وتشير هذه الأساليب المشتركة إلى إمكانية التنسيق أو التبني المتبادل للتكتيكات الفعالة.

مواضيع الهندسة الاجتماعية وتكتيكات التسليم

غالبًا ما تتنكر الحملات التي تستخدم TransferLoader في شكل رسائل بريد إلكتروني لفرص عمل، فتجذب الضحايا بروابط تدّعي أنها تقود إلى سير ذاتية بصيغة PDF. في الواقع، يُفعّل الرابط تنزيل TransferLoader المُستضاف على مواقع مشاركة الويب IPFS.

أهم النقاط الفنية لعمليات TransferLoader

يتجنب الاكتشاف – يستخدم إعادة التوجيه والتصفية والاستضافة اللامركزية لتجاوز الدفاعات التقليدية.

تسليم الحمولة – يعمل كمحمل للبرامج الضارة الأكثر خطورة، بما في ذلك برامج الفدية وأدوات الوصول عن بعد.

تقنيات متباينة - تستخدم هياكل إعادة توجيه فريدة (من JavaScript إلى نقاط نهاية PHP) لدعم تقديم المحتوى الديناميكي.

الاستنتاج: فهم تهديد TransferLoader

يُمثل TransferLoader تهديدًا كبيرًا، كونه أداة تحميل خفية قادرة على تمكين هجمات شديدة التأثير. ويوضح استخدامه من قِبل UNK_GreenSec وTA829 كيف تواصل جماعات الجريمة الإلكترونية الابتكار ومشاركة الأدوات واستغلال البنية التحتية اللامركزية لتجنب الكشف وتحقيق أهدافها.

تتضمن مؤشرات التهديد الذي يشكله TransferLoader ما يلي:

  • استخدام خدمات REM Proxy
  • رسائل البريد الإلكتروني تغري بالإشارة إلى طلبات العمل أو السير الذاتية
  • سلاسل إعادة التوجيه التي تتضمن روابط Rebrandly
  • الحمولات المستضافة على منصات تعتمد على IPFS

يتعين على المنظمات أن تظل يقظة، وتنفذ تصفية قوية للبريد الإلكتروني والويب، وتراقب باستمرار سلوك الشبكة غير الطبيعي المرتبط بهذه التكتيكات.

الشائع

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
35,407
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...