متابعات-ميكسي نيوز
هاكرز…تم اكتشاف عملية للمتسللين مقابل الاستئجار باستخدام سلالة من البرامج الضارة غير الموثقة سابقًا لاستهداف المؤسسات المالية في جنوب آسيا وشركات الترفيه العالمية.
يطلق عليه اسم “Costaricto“من قبل باحثو بلاك بيري ، يبدو أن الحملة هي العمل اليدوي للمرتزقة المناسبة الذين يمتلكون أدوات برامج ضارة مفصلة وقدرات أنفاق VPN المعقدة و SSH.
“أهداف Costaricto منتشرة عبر بلدان مختلفة في أوروبا والأمريكتين وآسيا وأستراليا وأفريقيا ، ولكن يبدو أن أكبر تركيز في جنوب آسيا (وخاصة الهند وبنغلاديش وسنغافورة والصين) ، مما يشير إلى أن ممثل التهديد يمكن أن يكون مقرها في تلك المنطقة ، ولكن العمل على مجموعة واسعة من العملة من العملاء المتنوعين”.
طريقة التشغيل في حد ذاتها مستقيم إلى الأمام. عند الحصول على موطئ قدم أولي في بيئة الهدف من خلال بيانات الاعتماد المسروقة ، يستمر المهاجم في إعداد نفق SSH لتنزيل باب خلفي وعملية حمولة يسمى Costabricks التي تنفذ آلية الجهاز الظاهري C ++ لفك تشفير حمولة Bytecode وحقنها في الذاكرة.
بالإضافة إلى إدارة خوادم القيادة والسيطرة (C2) عبر نفق DNS، الباب الخلفي الذي يتم تسليمه بواسطة اللوادر المذكورة أعلاه هو C ++ تم تجميعه القابل للتنفيذ Sombrat – سمي جدا باسم سومبرا، وهو قراصنة مكسيكية ، وستراتور من لعبة متعددة اللاعبين الشهيرة.
يأتي Backdoor مزودًا بـ 50 أمرًا مختلفًا لتنفيذ مهام محددة (يمكن تصنيفها في Core ، Taskman ، Config ، التخزين ، تصحيح ، وظائف الشبكة) التي تتراوح من حقن DLL الضار في الذاكرة إلى تعداد الملفات في التخزين للتخزين لتوضيح البيانات الملتقطة إلى الخادم الذي يسيطر عليه المهاجم.
إجمالاً ، تم تحديد ستة إصدارات من Sombrat ، مع الإصدار الأول الذي يرجع تاريخه على طول الطريق إلى أكتوبر 2019 وأحدث البديل الذي لوحظ في وقت سابق من شهر أغسطس ، مما يعني أن الباب الخلفي يخضع للتطوير النشط.
على الرغم من أن هويات المحتالين وراء العملية لا تزال غير معروفة ، فقد تم ربط أحد عناوين IP التي تم تسجيل نطاقات الباب الخلفي بحملة تصيد سابقة تُنسب إلى روسيا المرتبطة APT28 مجموعة القرصنة ، مما يلمح إلى احتمال أن تكون حملات التصيد في المرتزقة نيابة عن ممثل التهديد الفعلي.
هذه هي العملية الثانية للمتسللين للاستئجار التي اكتشفتها BlackBerry ، وهي أول سلسلة من الحملات من قبل مجموعة تسمى بهاموت تم العثور على ذلك لاستغلال العيوب الصفر يوم الصفر ، والبرامج الضارة ، وعمليات التضليل لتتبع الأهداف الموجودة في الشرق الأوسط وجنوب آسيا.
وقال باحثو بلاك بيري: “مع النجاح الذي لا يمكن إنكاره في Ransomware-As-A-Service (RAAS) ، فليس من المستغرب أن يوسع سوق Cybercriminal محفظته لإضافة حملات تصيد وتجسس مخصصة إلى قائمة الخدمات المعروضة”.
“لدى هجمات الاستعانة بمصادر خارجية أو أجزاء معينة من سلسلة الهجوم إلى مجموعات المرتزقة غير المنتظمة العديد من المزايا للخصم – فهي توفر وقتها ومواردها وتبسيط الإجراءات ، ولكن الأهم من ذلك أنها توفر طبقة إضافية من عدم التوجيه ، مما يساعد على حماية الهوية الحقيقية لممثل التهديد.”
