الأمن السيبراني Brute, Ratel, أداة, الترقيع, المتقدمة, باستخدام, بوتان, قراصنة, يستهدفون eshrag يوليو 24, 2024 0 تعليقات

قراصنة الترقيع يستهدفون بوتان باستخدام أداة Brute Ratel C4 المتقدمة

24 يوليو 2024غرفة الأخبارالتجسس السيبراني / استخبارات التهديد

تم ربط جهة التهديد المعروفة باسم Patchwork بهجوم إلكتروني يستهدف كيانات لها علاقات مع بوتان لتقديم إطار عمل Brute Ratel C4 ونسخة محدثة من باب خلفي يسمى PGoShell.

يمثل هذا التطوير المرة الأولى التي يتم فيها ملاحظة الخصم باستخدام برنامج الفريق الأحمر، فريق Knownsec 404. قال في تحليل نشر الأسبوع الماضي.

مجموعة الأنشطة، والتي تسمى أيضًا APT-C-09، وDropping Elephant، وOperation Hangover، وViceroy Tiger، وZinc Emerson، هي جهة فاعلة ترعاها الدولة ومن المحتمل أن تكون من أصل هندي.

ويُعتقد أن طاقم القرصنة، المعروف بشن هجمات التصيد الاحتيالي والهجمات ضد الصين وباكستان، نشط منذ عام 2009 على الأقل، وفقًا لما ذكرته صحيفة “ديلي ميل” البريطانية. البيانات المشتركة من شركة الأمن السيبراني الصينية QiAnXin.

في يوليو الماضي، كشفت Knownsec 404 عن تفاصيل حملة تجسس استهدفت الجامعات والمؤسسات البحثية في الصين والتي استفادت من غرسة مستندة إلى .NET تحمل الاسم الرمزي EyeShell لجلب وتنفيذ الأوامر من خادم يتحكم فيه المهاجم، وتشغيل حمولات إضافية، والتقاط لقطات الشاشة.

ثم في وقت سابق من شهر فبراير، تبين أن جهة التهديد قد استخدمت إغراءات ذات طابع رومانسي للإيقاع بالضحايا في باكستان والهند واختراق أجهزتهم التي تعمل بنظام Android من خلال حصان طروادة للوصول عن بعد يطلق عليه اسم VajraSpy.

نقطة البداية لأحدث سلسلة هجمات تمت ملاحظتها هي ملف اختصار Windows (LNK) المصمم لتنزيل مستند PDF مزيف من مجال بعيد ينتحل صفة اتفاقية الأمم المتحدة الإطارية بشأن تغير المناخ المدعومة صندوق التكيف، أثناء نشر Brute Ratel C4 وPGoShell بشكل خفي من نطاق مختلف (“beijingtv[.]المنظمة”).

وقالت شركة الأمن السيبراني: “تم تطوير PGoShell بلغة برمجة Go؛ بشكل عام، فهو يوفر مجموعة غنية من الوظائف، بما في ذلك إمكانيات الصدفة عن بعد، والتقاط الشاشة، وتنزيل الحمولات وتنفيذها”.

ويأتي هذا التطوير بعد أشهر من إسناد هجمات APT-K-47 – وهي جهة تهديد أخرى تتشارك في تداخلات تكتيكية مع SideWinder وPatchwork وConfucius وBitter – إلى هجمات تنطوي على استخدام ORPCBackdoor بالإضافة إلى برامج ضارة غير موثقة سابقًا مثل WalkerShell وDemoTrySpy وNixBackdoor. جمع البيانات وتنفيذ كود القشرة.

تتميز الهجمات أيضًا بنشر إطار عمل مفتوح المصدر للقيادة والتحكم (C2) يُعرف باسم نيمبو-C2، والذي “يتيح مجموعة واسعة من وظائف التحكم عن بعد،” Knownsec 404 قال.

وجدت هذه المادة مثيرة للاهتمام؟ اتبعنا تويتر و ينكدين لقراءة المزيد من المحتوى الحصري الذي ننشره.

Source link