أخبار تقنية

اكتشاف أداة سيبرانية جديدة للفريق الأحمر تُدعى شظية

شاركت Palo Alto Networks Unit 42 النتائج التي توصلت إليها بعد أن اكتشفت البرنامج على العديد من أنظمة العملاء

أعلن باحثو الأمن السيبراني عن اكتشاف أداة جديدة للفريق الأحمر بعد الاستغلال تسمى شظية في البرية.

شاركت Palo Alto Networks Unit 42 النتائج التي توصلت إليها بعد أن اكتشفت البرنامج على العديد من أنظمة العملاء.

“إنها تحتوي على مجموعة قياسية من الميزات الشائعة في أدوات اختبار الاختراق وقد قام مطورها بإنشائها باستخدام لغة البرمجة Rust،” دومينيك رايشيل من الوحدة 42.

قال. “على الرغم من أن Splinter ليست متقدمة مثل أدوات ما بعد الاستغلال المعروفة الأخرى مثل Cobalt Strike، إلا أنها لا تزال تمثل تهديدًا محتملاً للمؤسسات إذا تم إساءة استخدامها.”

غالبًا ما تُستخدم أدوات اختبار الاختراق لعمليات الفريق الأحمر للإبلاغ عن المشكلات الأمنية المحتملة في شبكة الشركة. ومع ذلك، يمكن أيضًا استخدام أدوات محاكاة الخصم هذه كسلاح من قبل الجهات التهديدية لصالحها.

 

قالت الوحدة 42 إنها لم تكتشف أي نشاط لجهة تهديد مرتبطة بمجموعة أدوات Splinter. ولا توجد معلومات حتى الآن عن الجهة التي طورت الأداة.

تكشف القطع الأثرية التي اكتشفتها شركة الأمن السيبراني أنها “كبيرة بشكل استثنائي”، حيث يبلغ حجمها حوالي 7 ميغابايت، ويرجع ذلك أساسًا إلى وجود 61 صندوقًا من صناديق الصدأ بداخلها.

لا يختلف Splinter عن أطر عمل ما بعد الاستغلال الأخرى من حيث أنه يأتي مع تكوين يتضمن معلومات حول خادم القيادة والتحكم (C2)، والذي يتم تحليله من أجل إنشاء اتصال مع الخادم باستخدام HTTPS.

وأشار رايشيل إلى أنه “يتم التحكم في عمليات زرع الشظايا من خلال نموذج قائم على المهام، وهو أمر شائع بين أطر ما بعد الاستغلال”. “يحصل على مهامه من خادم C2 الذي حدده المهاجم.”

تتضمن بعض وظائف الأداة تنفيذ أوامر Windows، وتشغيل الوحدات عبر حقن العمليات عن بُعد، وتحميل الملفات وتنزيلها، وجمع معلومات حساب الخدمة السحابية، وحذف نفسها من النظام.

وقال رايشيل: “يؤكد التنوع المتزايد على أهمية البقاء على اطلاع دائم بقدرات الوقاية والكشف، حيث من المرجح أن يتبنى المجرمون أي تقنيات فعالة لتسوية المنظمات”.

ويأتي هذا الكشف في الوقت الذي قامت فيه Deep Instinct بتفصيل طريقتين للهجوم يمكن استغلالهما من قبل جهات التهديد لتحقيق حقن تعليمات برمجية خفية وتصعيد الامتيازات من خلال الاستفادة من واجهة RPC في Microsoft Office وبرنامج ضار. الرقائق، على التوالى.

“لقد طبقنا رقاقة خبيثة في عملية دون تسجيل ملف SDB على النظام،” الباحثان رون بن اسحق وديفيد شاندالوف قال. “لقد تجاوزنا بشكل فعال اكتشاف EDR عن طريق الكتابة إلى عملية فرعية وتحميل DLL الهدف من العملية الفرعية المعلقة قبل أن يتم إنشاء أي ربط EDR.”

 

في يوليو 2024، سلطت Check Point الضوء أيضًا على تقنية جديدة لحقن العملية تسمى Thread Name-Calling والتي تسمح بزرع كود القشرة في عملية قيد التشغيل عن طريق إساءة استخدام واجهة برمجة التطبيقات لأوصاف الخيوط أثناء تجاوز منتجات حماية نقطة النهاية.

“مع إضافة واجهات برمجة التطبيقات الجديدة إلى Windows، تظهر أفكار جديدة لتقنيات الحقن،” الباحث الأمني ​​ألكساندرا “هاشيرزاد” دونيك قال.

“يستخدم استدعاء اسم سلسلة المحادثات بعض واجهات برمجة التطبيقات الجديدة نسبيًا.

ومع ذلك، لا يمكنه تجنب دمج المكونات القديمة المعروفة، مثل ناقلة جنود مدرعة الحقن – واجهات برمجة التطبيقات (APIs) التي يجب أن تؤخذ دائمًا في الاعتبار باعتبارها تهديدًا محتملاً. وبالمثل، فإن التلاعب بحقوق الوصول ضمن عملية بعيدة يعد نشاطًا مشبوهًا.

إدارة ميكسي نيوز

ميكسي نيوز منصة إخبارية عربية تقدم تغطية شاملة لأهم الأحداث حول العالم، مع التركيز على الاخبار التقنية، والرياضية، والفنية، بتحديث مستمر ومصداقية عالية

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى