تكنولوجيا – إكتشاف مجموعة جديدة من البرامج الخبيثة تستخدمها Andariel.. تعرف عليها

تكنولوجيا  – إكتشاف مجموعة جديدة من البرامج الخبيثة تستخدمها Andariel.. تعرف عليها

البوكس نيوز – تكنولوجيا – نتحدث اليوم حول إكتشاف مجموعة جديدة من البرامج الخبيثة تستخدمها Andariel.. تعرف عليها والذي يثير الكثير من الاهتمام والجدل عبر مواقع التواصل الاجتماعي وكما سنتناول بالتفصيل حول إكتشاف مجموعة جديدة من البرامج الخبيثة تستخدمها Andariel.. تعرف عليها، وتعد هذا المقالة جزءًا من سلسلة المقالات التي ينشرها البوكس نيوز بشكل عام.


اكتشف باحثو مركز الأبحاث الروسي كاسبرسكي مجموعة برامج خبيثة جديدة تسمى EarlyRat، تستخدمها Andariel إلى جانب برامج DTrack الخبيثة وبرامج الفدية Maui.


 


ويساعد التحليل الجديد الذي أجرته الشركة في تقليل الوقت اللازم لتوفير الدعم المطلوب، والكشف الاستباقي للهجمات في مراحل مبكرة من إطلاقها. 


 


وتعمل عصابة التهديدات المتقدمة المستمرة Andariel منذ ما يزيد على 10 سنوات ضمن عصابة Lazarus، وتمكن الباحثون من رصدها منذ زمن، وفقاً لموقع مركز الأبحاث الروسي كاسبرسكي.


 

وفي الآونة الأخيرة، تمكنوا من اكتشاف حملة Andariel، وتعرفوا على مجموعة برامج خبيثة غير موثقة سابقاً، تقوم بتحديد تكتيكاتها وتقنياتها وإجراءاتها الإضافية. 


 


وتبدأ عصابة Andariel بإحداث الإصابات من خلال الاستفادة من استغلال ثغرة تسمى Log4j التي تتيح تحميل برامج خبيثة إضافية من بنيتها التحتية للقيادة والتحكم (C2).


 


ورغم عدم تحديد الجزء الأولي من البرامج الخبيثة التي تم تحميلها، لاحظ الباحثون تحميل الباب الخلفي DTrack لاحقاً، حيث حدث ذلك بعد وقت قصير من استغلال الثغرة الأمنية ذاتها. 


 


وظهر جانب مذهل من التحقيق عندما تمكن خبراء  كاسبرسكي من تكرار عملية تنفيذ الأمر، إذ اتضح أن الأوامر داخل حملة Andariel كان يتم تنفيذها من قبل عامل بشري يفترض أنه يتمتع بخبرة قليلة، بناءً على الأخطاء العامة والإملائية العديدة التي ارتكبها. 


 


وعلى سبيل المثال، كتب الشخص المسؤول على التشغيل عن طريق الخطأ كلمة “Prorgam” بدلاً من التهجئة الصحيحة “Program”.


 


ومن بين النتائج الأخرى، عثر الباحثون عن طريق الصدفة على نسخة من EarlyRat في إحدى حالات ثغرة Log4j. 


 

وفي حالات أخرى، تم تحميل EarlyRat عبر الثغرة الأمنية Log4j، واكتشف في بعضها الآخر أن مستندات التصيّد الاحتيالي قامت في النهاية بنشر برنامج EarlyRat.


 


نموذج من مستندات التصيد الاحتيالي


وكما هي الحال بالنسبة إلى العديد من تروجنات من مجموعة (RATs) الأخرى التي يمكنها الوصول عن بُعد، يقوم برنامج EarlyRat بجمع معلومات النظام عند تفعيله، ومن ثم يجري إرسالها إلى خادم القيادة والتحكم (C2) عن طريق استخدام نموذج محدد. 


 


وتتضمن البيانات المرسلة البيانات التعريفية الفريدة (ID) للجهاز والاستعلامات، والتي يتم تشفيرها باستخدام مفاتيح الترميز المحددة في حقل البيانات التعريفية.


 


أما من حيث الجوانب الوظيفية، يُظهر برنامج EarlyRat أنه يمتاز بطابعه البسيط، لأنه يقتصر أساساً على تنفيذ الأوامر. 


 


ومن الجوانب المثيرة للاهتمام التي تم الكشف عنها، أن برنامج EarlyRat يشترك في بعض أوجه التشابه عالية المستوى مع برنامج MagicRat الخبيثة الذي تم نشره سابقاً من قبل عصابة Lazarus، مثل استخدام أطر العمل (QT for MagicRat و PureBasic for EarlyRat) والوظائف المحددة لكل واحد من تروجنات من مجموعة (RATs). 


 


ولتجنب التعرض لهجوم مستهدف من قِبل جهة تهديد معروفة أو غير معروفة، يوصي باحثو كاسبرسكي باتباع  الإجراءات التالية:


 


تزويد فريق مركز العمليات الأمنية في شركتك بإمكانية الوصول إلى أحدث معلومات التهديدات. 


 


تطوير مهارات فريق الأمن السيبراني في شركتك، ليتمكن الموظفون من التعامل مع أحدث التهديدات المستهدفة بالاعتماد على التدريب الافتراضي.


 


ينصح بتطبيق حل أمني على مستوى الشركة لاكتشاف التهديدات المتقدمة في كافة أرجاء الشبكة في مرحلة مبكرة.


 


ينصح بتنظيم تدريب يركز على التوعية الأمنية وعلم المهارات العملية.

وفي نهاية مقالتنا إذا كان لديك أي اقتراحات أو ملاحظات حول الخبر، فلا تتردد في مرسلتنا، فنحن نقدر تعليقاتكم ونسعى جاهدين لتلبية احتياجاتكم وتطوير الموقع بما يتناسب مع تطلعاتكم ونشكرًكم علي زيارتكم لنا، ونتمنى لكم قضاء وقت ممتع ومفيد معنا.

تعليقات

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

error: لا يمكنك نسخ المقالة