متابعات-ميكسي نيوز
برامج ضارة جديدة تضغط….ظهرت حملة خبيثة وضعت أنظارها على الكيانات ذات الصلة الصناعية في الشرق الأوسط منذ عام 2019 مع مجموعة أدوات البرامج الضارة التي تمت ترقيتها لضرب أنظمة تشغيل Windows و MacOS ، مما يرمز إلى توسع في كل من أهدافه واستراتيجيتها حول توزيع التهديدات.
عزت شركة الأمن السيبراني الروسية الهجمات إلى تهديد مستمر متقدم (APT) تتبعها “على أنها” “الضغط البري، “مع الضحايا يعتقد أنهم في صناعة النفط والغاز.
ظهر الضغط في Wildpressure لأول مرة في مارس 2020 استنادًا إلى عملية البرامج الضارة التي توزعت طروادة C ++ التي تم إيصالها بالكامل والتي يطلق عليها “Milum” والتي مكنت ممثل التهديد من الحصول على سيطرة عن بُعد على الجهاز المتسق. وقيل إن الهجمات بدأت في وقت مبكر من أغسطس 2019.
“بالنسبة للبنية التحتية للحملات ، استخدم المشغلون الخوادم الخاصة المستأجرة OVH و NetzBetrieb (VPS) ومجال مسجل في المجالات من قبل خدمة عدم الكشف عن هوية الوكيل”. ذُكر العام الماضي.
منذ ذلك الحين ، تم اكتشاف عينات جديدة من البرامج الضارة المستخدمة في حملات الضغط البري ، بما في ذلك إصدار أحدث من طروادة C ++ Milum ، وهو متغير VBSCript المقابل مع نفس رقم الإصدار ، ونص Python المسمى “Guard” الذي يعمل عبر كل من Windows و MacOS.
https://www.youtube.com/watch؟v=1V79Qrhi1hm
تم تصميم طرقة طروادة متعددة OS المستندة إلى Python ، والتي تصنع على نطاق واسع من رمز الطرف الثالث المتاح للجمهور ، لاسم المضيف لآلة الضحايا ، بنية الماكينة ، واسم إصدار نظام التشغيل إلى خادم عن بُعد والتحقق من منتجات مضادة للمواد المُثبّعة ، وبعد ذلك ، تنتظر الأوامر من الخادم الذي يسمح له بتنزيل ملفات التحميل والانتعاش ، وتحديثها. يستضيف.
يتميز إصدار VBScript من البرامج الضارة ، المسماة “Tandis” ، بقدرات مماثلة على إمكانات Guard و Milum ، مع الاستفادة من XML المشفرة عبر HTTP للاتصالات عن القيادة والسيطرة (C2). بشكل منفصل ، قالت Kaspersky إنها وجدت عددًا من الإضافات غير المعروفة سابقًا C ++ والتي تم استخدامها لجمع البيانات عن الأنظمة المصابة ، مثل تسجيلات المفاتيح والتقاط لقطات الشاشة.
ما هو أكثر من ذلك ، فيما يبدو أنه تطور للموظفين ، فإن الحملة الأخيرة – إلى جانب الاعتماد على VPs التجارية – تنسج أيضًا مواقع الويب الشرعية في البنية التحتية للهجوم ، مع مواقع الويب التي تعمل كخوادم ترحيل للحرس.
حتى الآن ، لا توجد رؤية واضحة فيما يتعلق بآلية انتشار البرامج الضارة أو أي أوجه تشابه قوية تعتمد على الكود أو الضحية مع الجهات الفاعلة المعروفة الأخرى للتهديدات. ومع ذلك ، قال الباحثون إنهم اكتشفوا علاقات طفيفة في التقنيات التي يستخدمها خصم آخر يسمى BlackShadow ، والذي يعمل أيضًا في نفس المنطقة.
وقال ليجزو: “التكتيكات ليست فريدة بما يكفي للوصول إلى أي استنتاج إسناد – من المحتمل أن كلا المجموعتين تستخدم ببساطة نفس التقنيات العامة وأساليب البرمجة”.
