متابعة ماكس نيوز
السيبراني…يلفت باحثو الأمن السيبراني الانتباه إلى إطار أتمتة المتصفح المجاني الذي يستخدم بشكل متزايد من قبل الجهات الفاعلة التهديدات كجزء من حملاتهم الهجومية.
“يحتوي الإطار على العديد من الميزات التي نقوم بتقييمها قد يتم استخدامها في تمكين الأنشطة الخبيثة” ، باحثين من Team Cymru قال في تقرير جديد نشر الأربعاء.
“يتم الحفاظ على شريط الدخول الفني للإطار عن قصد ، والذي عمل على إنشاء مجتمع نشط من مطوري المحتوى والمساهمين ، حيث يعلن الممثلون في الاقتصاد تحت الأرض عن وقتهم لإنشاء أدوات مفصلة.”
قالت شركة الأمن السيبراني في الولايات المتحدة إنها لاحظت عناوين IP للقيادة والسيطرة (C2) المرتبطة بالبرامج الضارة مثل Bumblebee و Blackguard و Redline Stealer التي تنشئ اتصالات إلى Downloads Sublain of Bablosoft (“Downlبة
كان بابلوسوفت سابقا موثق من خلال شركة Cloud Security وتسليم التطبيقات F5 في فبراير 2021 ، مشيرة إلى قدرة الإطار على أتمتة المهام في متصفح الكروم من Google بطريقة تشبه أدوات المطورين المشروعة مثل Puppeteer و Selenium.
يوضح القياس عن بُعد التهديد لعنوان IP في النطاق الفرعي – 46.101.13 (.) 144 – أن الغالبية العظمى من النشاط نشأت من مواقع في روسيا وأوكرانيا ، مع استخبارات المصادر المفتوحة التي تشير إلى أن مالك بابلوسوفت يزعم أنه يقع في العاصمة الأوكرانية في كييف.
من المشكوك فيه أن مشغلي حملات البرامج الضارة متصلة بنطاق Bablosoft الفرعي لأغراض تنزيل أدوات إضافية للاستخدام كجزء من أنشطة ما بعد الاستغلال.
تم تحديد العديد من المضيفين المرتبطين بالبرامج الضارة المشفرة مثل XMRIG و TOFSEE مع نطاق فرعي ثانٍ يسمى “Vholeprints.Bablosoft (.) COM” لاستخدام خدمة تساعد على إخفاء سلوكها الخبيث.
وقال الباحثون “بناءً على عدد الممثلين الذين يستخدمون بالفعل الأدوات المقدمة على موقع بابلوسوفت ، لا يمكننا إلا أن نتوقع أن نرى باس عنصرًا أكثر شيوعًا في مجموعة أدوات ممثل التهديد”.
