خبراء يكشفون مجموعة جديدة من البرامج الخبيثة تستخدمها عصابة Andariel
كشف خبراء امن المعلومات خلال تحقيق عميق تناول البرامج الخبيثة المستخدمة ضمن أنشطة Andariel، وهى عصابة فرعية سيئة السمعة من Lazarus، عن مجموعة برامج خبيثة جديدة تسمى EarlyRat، تستخدمها Andariel إلى جانب برامج DTrack الخبيثة وبرامج الفدية Maui.
مجموعة البرامج الخبيثة الجديدة
وتعمل عصابة التهديدات المتقدمة المستمرة Andariel منذ ما يزيد على 10 سنوات ضمن عصابة Lazarus، وتمكن الخبراء من رصدها منذ زمن وفي الآونة الأخيرة، تمكنوا من اكتشاف حملة Andariel، وتعرفوا على مجموعة برامج خبيثة غير موثقة سابقًا، تقوم بتحديد تكتيكاتها وتقنياتها وإجراءاتها الإضافية.
وتبدأ عصابة Andariel بإحداث الإصابات من خلال الاستفادة من استغلال ثغرة تسمى Log4j التي تتيح تحميل برامج خبيثة إضافية من بنيتها التحتية للقيادة والتحكم (C2). ورغم عدم تحديد الجزء الأولي من البرامج الخبيثة التي تم تحميلها، لاحظ الباحثون تحميل الباب الخلفي DTrack لاحقًا، حيث حدث ذلك بعد وقت قصير من استغلال الثغرة الأمنية ذاتها.
وظهر جانب من التحقيق عندما تمكن الخبراء من تكرار عملية تنفيذ الأمر، إذ اتضح أن الأوامر داخل حملة Andariel كان يتم تنفيذها من قبل عامل بشري يفترض أنه يتمتع بخبرة قليلة، بناءً على الأخطاء العامة والإملائية العديدة التي ارتكبها. وعلى سبيل المثال، كتب الشخص المسؤول على التشغيل عن طريق الخطأ كلمة "Prorgam" بدلًا من التهجئة الصحيحة "Program".
ومن بين النتائج الأخرى، عثر الخبراء عن طريق الصدفة على نسخة من EarlyRat في إحدى حالات ثغرة Log4j.
وفي حالات أخرى، تم تحميل EarlyRat عبر الثغرة الأمنية Log4j، واكتشف في بعضها الآخر أن مستندات التصيّد الاحتيالي قامت في النهاية بنشر برنامج EarlyRat.
وكما هي الحال بالنسبة إلى العديد من تروجنات من مجموعة (RATs) الأخرى التي يمكنها الوصول عن بُعد، يقوم برنامج EarlyRat بجمع معلومات النظام عند تفعيله، ومن ثم يجري إرسالها إلى خادم القيادة والتحكم (C2) عن طريق استخدام نموذج محدد.
وتتضمن البيانات المرسلة البيانات التعريفية الفريدة (ID) للجهاز والاستعلامات، والتي يتم تشفيرها باستخدام مفاتيح الترميز المحددة في حقل البيانات التعريفية.
أما من حيث الجوانب الوظيفية، يُظهر برنامج EarlyRat أنه يمتاز بطابعه البسيط، لأنه يقتصر أساسًا على تنفيذ الأوامر. ومن الجوانب المثيرة للاهتمام التي تم الكشف عنها، أن برنامج EarlyRat يشترك في بعض أوجه التشابه عالية المستوى مع برنامج MagicRat الخبيثة الذي تم نشره سابقًا من قبل عصابة Lazarus، مثل استخدام أطر العمل (QT for MagicRat وPureBasic for EarlyRat) والوظائف المحددة لكل واحد من تروجنات من مجموعة (RATs).
وقال يورنت فان دير فيل، كبير الباحثين الأمنيين في فريق البحث والتحليل العالمي لدى كاسبرسكي نواجه في المشهد الشاسع للجرائم الإلكترونية العديد من اللاعبين والعصابات السيبرانية التي تتعامل مع برامج تمتاز بمرونتها الفائقة.
وتبين أنه من الشائع لهذه العصابات الإجرامية أن تتبنى تعليمات برمجية من عصابات أخرى، وحتى العصابات التابعة التي يمكن اعتبارها مستقلة، حيث تقوم بالتبديل بين أنواع مختلفة من البرامج الخبيثة.
عصابات التهديدات المتقدمة
وإضافة إلى طبيعتها المعقدة، تشارك مجموعات فرعية من عصابات التهديدات المتقدمة المستمرة، مثل Andariel التابعة لعصابة Lazarus، في أنشطة نموذجية للجرائم الإلكترونية، ومن ذلك على سبيل المثال نشر برامج الفدية ومن خلال تركيزنا على التكتيكات والتقنيات والإجراءات، كما فعلنا في البحث الذي أجريناه معAndariel، يمكننا تقليل وقت الدعم بشكل كبير، واكتشاف الهجمات في مراحلها المبكرة.
نقدم لكم من خلال موقع (فيتو)، تغطية ورصدًا مستمرًّا على مدار الـ 24 ساعة لـ أسعار الذهب، أسعار اللحوم ، أسعار الدولار ، أسعار اليورو ، أسعار العملات ، أخبار الرياضة ، أخبار مصر، أخبار اقتصاد ، أخبار المحافظات ، أخبار السياسة، أخبار الحوادث ، ويقوم فريقنا بمتابعة حصرية لجميع الدوريات العالمية مثل الدوري الإنجليزي ، الدوري الإيطالي ، الدوري المصري، دوري أبطال أوروبا ، دوري أبطال أفريقيا ، دوري أبطال آسيا ، والأحداث الهامة و السياسة الخارجية والداخلية بالإضافة للنقل الحصري لـ أخبار الفن والعديد من الأنشطة الثقافية والأدبية.
