• 02/12/2023
  •  https://dg.samrl.org/l?a5083 
    العثور على برمجية ضارة تستهدف كيانات في الشرق الأوسط بواسطة باب خلفي
    الحقوق الرقمية |

    لاحظ باحثو الوحدة 42 سلسلة من الهجمات ذات الصلة على ما يبدو ضد منظمات في الشرق الأوسط وأفريقيا والولايات المتحدة، بواسطة باب خلفي جديد يسمى Racoon Agent.
     
    أشار الباحثون إلى أن مجموعة أنشطة التهديد هذه تتوافق مع الجهات الفاعلة ذات الصلة بالتهديد بالدولة القومية نظرًا لطبيعة المنظمات التي تعرضت للاختراق، والإجراءات والتكتيكات الهجومية TTPs التي تمت ملاحظتها، ولم يتم التأكد من وجود دولة أو مجموعة تهديد معينة.

    يسمح Agent Raccoon، الذي يتم تنفيذه عن طريق المهام المجدولة، بتنفيذ الأوامر وتحميل الملفات وتنزيلها، بينما يتنكر في شكل ثنائيات Google Update وMicrosoft OneDrive Updater.

    وقالت الوحدة 42 إنها كشفت أيضًا عن أدلة على نجاح عملية استخراج البيانات من بيئات Microsoft Exchange Server، مما أدى إلى سرقة رسائل البريد الإلكتروني المطابقة لمعايير البحث المختلفة. كما تم اكتشاف أن جهة التهديد تقوم بحصد ملف تعريف التجوال الخاص بالضحايا .

    بالإضافة إلى تسرب البريد الإلكتروني، حدد باحثو الوحدة 42 عملية تسريب لملف تعريف التجوال الخاص بالضحية . يتم استخدام ملف التعريف المتجول لخدمة نفس ملف التعريف للمستخدم عند تسجيل الدخول من أجهزة كمبيوتر مختلفة من نفس بيئة Active Directory.

    ولتصفية ذلك، قام ممثل التهديد بضغط الدليل باستخدام الإصدار المستقل من أداة 7-Zip (التي قاموا بإسقاطها في النظام باستخدام certutil.exe )، وتقسيم الملف المضغوط إلى أجزاء يبلغ حجمها 100 ميجابايت.


    تم استخدام هذه الأدوات لتنفيذ الأنشطة التالية:

    إنشاء قدرات الباب الخلفي
    للقيادة والسيطرة (C2)
    سرقة بيانات اعتماد المستخدم.
    استخراج المعلومات السرية

    الأدوات التي تم استخدامها في هذه المجموعة هي التالية:

    • باب خلفي جديد أطلقنا عليه اسم العميل راكون
    تمت كتابة عائلة البرامج الضارة هذه باستخدام إطار عمل .NET وتستفيد من بروتوكول خدمة اسم المجال (DNS) لإنشاء قناة سرية وتوفير وظائف خلفية مختلفة. وقد استخدمت الجهات الفاعلة في مجال التهديد هذه الأداة جنبًا إلى جنب مع الأداتين الأخريين في هجمات متعددة استهدفت مؤسسات في جميع أنحاء الولايات المتحدة والشرق الأوسط وأفريقيا. يعود تاريخ بنيتها التحتية C2 إلى عام 2020.
    • أداة جديدة أطلق عليها اسم Ntospy
    هذه البرامج الضارة عبارة عن وحدة DLL لموفر الشبكة مصممة لسرقة بيانات اعتماد المستخدم.
    • أداة أخرى تُستخدم لجمع بيانات الاعتماد والمعلومات الحساسة وهي نسخة مخصصة من أداة Mimikatz المعروفة، والتي يطلق عليها جهة التهديد اسم Mimilite، وفقًا للمراجع الموجودة في العينة.

    تنتمي المنظمات المعرضة للخطر إلى الصناعات التالية:

    • منظمات غير ربحية
    • ‏شركات الاتصالات
    • ‏الحكومات
    • التعليم
    • العقارات
    • ‏بيع بالتجزئة

    استنادًا إلى أوجه التشابه الفريدة في الأدوات وكذلك التكتيكات والتقنيات والإجراءات (TTPs) التي يستخدمها الكهاجمون، تم تتبع مجموعة أنشطة التهديد هذه باسم CL-STA-0002.

    المصدر: Palo Alto

     


  •  
    جميع الحقوق محفوظة لمنظمة سام © 2023، تصميم وتطوير