• 29/08/2023
  •  https://dg.samrl.org/l?a4943 
    ثلاثة برامج ضارة مسؤولة عن 80 في المائة من هجمات التطفل خلال النصف الأول من العام 2023 (تقرير)
    الحقوق الرقمية |

    كشفت شركة الأمن السيبراني ريليا كويست ReliaQuest عن أن مجرمي الإنترنت استخدموا سبع أدوات لتحميل البرامج الضارة، خلال الفترة يناير- يوليو من العام الجاري، لافتةً إلى أن ثلاثة برامج منها ("QakBot" و"SocGholish" و"Raspberry Robin") كانت الأكثر شعبية بأغلبية ساحقة والتي شكلت 80% من حوادث التطفل التي رصدتها ReliaQuest.

    وتعتبر أدوات تحميل البرامج الضارة من الأدوات الأكثر شيوعًا التي تستخدمها الجهات الفاعلة في مجال التهديد السيبراني لتأمين الوصول الأولي إلى الشبكة، ثم المساعدة في إسقاط الحمولات الضارة (تعد برامج الوصول عن بعد وأدوات ما بعد الاستغلال من الخيارات الشائعة).

    كاكبوت QakBot: الشخص الرشيق
    مثل البرامج الضارة الأخرى الشائعة ومتعددة الاستخدامات، تم تصميم QakBot كبرنامج حصان طروادة المصرفي، ثم تمت ترقيته بقدرات جديدة. بخلاف السماح بالوصول الأولي إلى الشبكات المستهدفة، يوفر QakBot حمولات أخرى للوصول عن بعد، ويسرق البيانات الحساسة، ويساعد في الحركة الجانبية وتنفيذ التعليمات البرمجية عن بعد.

    سوكغوليش SocGholish: الفخ السهل
    إن SocGholish سيئ السمعة (المعروف أيضًا باسم FakeUpdates) هو أداة تحميل تعتمد على JavaScript وتستهدف البيئات المستندة إلى Microsoft Windows. يتم تسليم البرامج الضارة عبر اختراق محرك الأقراص (يتم تنزيلها دون تدخل المستخدم). يتم خداع زوار شبكة واسعة من مواقع الويب المخترقة لتنزيل "التحديثات"، عادةً من خلال مطالبات المتصفح القديم أو إغراءات التحديث الأخرى لـ Microsoft Teams وAdobe Flash.

    تشكل SocGholish تهديدًا منذ عام 2018 ولكنها بدأت تؤتي ثمارها بالفعل في عام 2022. تعمل شبكتها الواسعة لتوزيع البرامج الضارة على مواقع الويب المخترقة والهندسة الاجتماعية؛ أربع نقرات فقط يمكن أن تؤثر على نطاق كامل أو شبكة من أنظمة الكمبيوتر في غضون أيام.
    في النصف الأول من عام 2023، نفذ مشغلو SocGholish هجمات عدوانية على حفرة الري. لقد قاموا باختراق مواقع الويب الخاصة بالمؤسسات الكبيرة المنخرطة في عمليات تجارية مشتركة ذات إمكانات مربحة وإصابتها. قام الزوار المطمئنون حتماً بتنزيل حمولة SocGholish، مما أدى إلى انتشار العدوى على نطاق واسع.
    تعتبر الهندسة الاجتماعية لـ SocGholish مقنعة ويمكن أن تحدث تأثيرًا كبيرًا، حتى لو تم خداع مستخدم واحد فقط. يعد وعي المستخدم والدفاع المتعمق أمرًا أساسيًا لتقليل هذا التهديد.

    راسبيري روبن Raspberry Robin: الشامل
    وأخيرًا وليس آخرًا، هناك Raspberry Robin، وهو عبارة عن أداة تحميل متنقلة تستهدف بيئات Microsoft Windows. تبدأ قدرات النشر الاستثنائية الخاصة به بعد الإصابة الأولية عبر أجهزة USB الضارة، عندما يقوم cmd.exe بتشغيل ملف LNK وتنفيذه على USB المصاب.

    يحتوي ملف LNK على أوامر تؤدي إلى تشغيل عمليات Windows الأصلية، مثل msiexec.exe، لبدء اتصال خارجي لتنزيل Raspberry Robin DLL. بمجرد تشغيل حمولة Raspberry Robin، يتم إنشاء عمليات إضافية باستخدام ثنائيات النظام، مثل rundll32.exe وodbcconf.exe وcontrol.exe، لتشغيل تعليمات برمجية ضارة. يُدخل هذا الرمز نفسه في عمليات النظام (على سبيل المثال، regsvr32.exe، وrundll32.exe، وdllhost.exe) لإنشاء مهام مجدولة للاستمرارية، وبدء اتصال C2، وتسليم حمولات أخرى.

    تم استخدام Raspberry Robin لتقديم العديد من برامج الفدية ومتغيرات البرامج الضارة الأخرى، مثل "Clop" و"LockBit" و"TrueBot" و"Flawed Grace"، بالإضافة إلى أداة Cobalt Strike. في عام 2023، استهدف مشغلو Raspberry Robin المؤسسات المالية والاتصالات السلكية واللاسلكية والحكومة والمنظمات الصناعية، خاصة في أوروبا، على الرغم من أن الولايات المتحدة حصلت على نصيبها العادل من الهجمات.

    يُعد Raspberry Robin إضافة مفيدة للغاية إلى ترسانة الجهات الفاعلة في مجال التهديد، حيث يساعد في إنشاء موطئ قدم أولي للشبكة وتقديم أشكال متعددة من الحمولة.
    وقد استخدمه مشغلو أداة التحميل لتحميل العديد من البرامج الضارة لمجموعات الجرائم الإلكترونية الأخرى، الأمر الذي من المحتمل أن يعزز تطوير Raspberry Robin وفرصه في الحملات المستقبلية.

    الدفاع ضد أدوات التحميل

    استنادًا إلى الاتجاهات الحديثة، من المحتمل جدًا أن تستمر أدوات التحميل هذه في تشكيل تهديد للمؤسسات في المستقبل المتوسط (من 3 إلى 6 أشهر) وما بعده. وفي الفترة المتبقية من عام 2023، يمكننا توقع تطورات أخرى في أدوات التحميل هذه، سواء استجابة للتخفيف التنظيمي أو من خلال التعاون بين الجهات الفاعلة في مجال التهديد.

    في الوقت الحالي، هناك العديد من الخطوات التي يمكنك اتخاذها لتقليل التهديد الناتج عن أدوات تحميل البرامج الضارة:

    • قم بتكوين GPO (كائن سياسة المجموعة) لتغيير محرك التنفيذ الافتراضي لملفات JS من Wscript إلى Notepad، وأي ملفات نصية إضافية تراها مناسبة. سيؤدي هذا إلى منع تنفيذ هذه الملفات على المضيف.
    • قم بحظر رسائل البريد الإلكتروني الواردة التي تحتوي على امتدادات ملفات تُستخدم عادةً لتسليم البرامج الضارة.
    • تقييد أصول الشركة من إجراء اتصالات عشوائية بالإنترنت، عبر جدار الحماية أو تكوينات الوكيل، لتقليل نشاط البرامج الضارة وC2.
    • الحد من استخدام برامج الوصول عن بعد ما لم تكن مطلوبة تمامًا لوظيفة الفرد؛ وبدلاً من ذلك، تعزيز المراقبة للكشف عن سوء الاستخدام. يحب مجرمو الإنترنت - وخاصة IABs ومشغلي برامج الفدية - استخدام هذا البرنامج للوصول إلى الشبكات والحفاظ عليه.
    • قم بتعطيل تثبيت ISO، والذي يعد وسيلة قوية لتجاوز أدوات مكافحة الفيروسات أو أدوات الكشف عن نقاط النهاية.
    • قم بتنفيذ التحكم في الوصول عبر USB وكائنات نهج المجموعة (GPOs) لمنع عمليات تنفيذ أوامر التشغيل التلقائي. فكر في تعطيل أي وصول إلى الوسائط القابلة للإزالة إذا كانت ظروف العمل تسمح بذلك.
    • تدريب الموظفين على تحديد أساليب الهندسة الاجتماعية المستخدمة على الويب، وفتح قناة مناسبة لهم للإبلاغ عن رسائل البريد الإلكتروني المشبوهة أو أي نشاط آخر.


  •  
    جميع الحقوق محفوظة لمنظمة سام © 2023، تصميم وتطوير