هجوم EastWind ينشر أبواب خلفية من PlugY وGrewApacha باستخدام ملفات LNK المفخخة
تستهدف الحكومة الروسية ومؤسسات تكنولوجيا المعلومات حملة جديدة توفر عددًا من الأبواب الخلفية وأحصنة طروادة كجزء من حملة التصيد الاحتيالي التي تحمل الاسم الرمزي رياح الشرق.
تتميز سلاسل الهجوم باستخدام مرفقات أرشيف RAR التي تحتوي على ملف اختصار Windows (LNK) الذي، عند فتحه، يقوم بتنشيط تسلسل الإصابة، ويبلغ ذروته في نشر البرامج الضارة مثل GrewApacha، وإصدار محدث من CloudSorcerer backdoor، و عملية زرع غير موثقة سابقًا يطلق عليها اسم PlugY.
يتم تنزيل PlugY من خلال الباب الخلفي CloudSorcerer، ويحتوي على مجموعة واسعة من الأوامر ويدعم ثلاثة بروتوكولات مختلفة للتواصل مع خادم الأوامر والتحكم، حسبما ذكرت شركة الأمن السيبراني الروسية Kaspersky. قال.
يعتمد ناقل العدوى الأولي على ملف LNK مفخخ، والذي يستخدم تقنيات التحميل الجانبي DLL لإطلاق ملف DLL ضار يستخدم Dropbox كآلية اتصالات لتنفيذ أوامر الاستطلاع وتنزيل حمولات إضافية.
من بين البرامج الضارة التي تم نشرها باستخدام ملف DLL هناك GrewApacha، وهو باب خلفي معروف سابقًا مرتبط لمجموعة APT31 المرتبطة بالصين. تم إطلاقه أيضًا باستخدام التحميل الجانبي لـ DLL، ويستخدم ملف تعريف GitHub الذي يتحكم فيه المهاجم كملف محلل القطرة الميتة لتخزين سلسلة مشفرة Base64 لخادم C2 الفعلي.
من ناحية أخرى، تعد CloudSorcerer أداة تجسس إلكترونية متطورة تستخدم للمراقبة الخفية وجمع البيانات والتسلل عبر البنية التحتية السحابية لـ Microsoft Graph وYandex Cloud وDropbox. كما هو الحال في GrewApacha، يعمل الإصدار المحدث على تعزيز المنصات الشرعية مثل LiveJournal وQuora كخادم C2 أولي.
وقال كاسبيرسكي: “كما هو الحال مع الإصدارات السابقة من CloudSorcerer، تحتوي السيرة الذاتية للملفات الشخصية على رمز مصادقة مشفر للتفاعل مع الخدمة السحابية”.
علاوة على ذلك، فهو يستخدم آلية حماية قائمة على التشفير تضمن أن يتم تفجير البرامج الضارة فقط على كمبيوتر الضحية باستخدام مفتاح فريد مشتق من نظام التشغيل Windows. وظيفة GetTickCount() في وقت التشغيل.
تمت ملاحظة عائلة البرامج الضارة الثالثة في الهجمات في PlugY، وهو باب خلفي كامل الميزات يتصل بخادم إدارة باستخدام TCP أو UDP أو الأنابيب المسماة، ويأتي مزودًا بإمكانيات تنفيذ أوامر shell ومراقبة شاشة الجهاز وتسجيل ضغطات المفاتيح والتقاط الحافظة. محتوى.
وقالت كاسبرسكي إن تحليل كود مصدر PlugX كشف عن أوجه تشابه مع باب خلفي معروف يسمى DRBControl (المعروف أيضًا باسم DRBControl). التسلق)، والذي تم المنسوب إلى مجموعات تهديدات الترابط الصيني التي تم تتبعها باسم APT27 وAPT41.
وقالت الشركة: “استخدم المهاجمون الذين يقفون وراء حملة EastWind خدمات الشبكة الشهيرة كخوادم أوامر – GitHub وDropbox وQuora، بالإضافة إلى LiveJournal الروسي وYandex Disk”.
يأتي هذا الكشف أيضًا عن تفاصيل هجوم Kaspersky الذي يتضمن اختراق موقع شرعي متعلق بإمدادات الغاز في روسيا لتوزيع فيروس متنقل يُسمى CMoon يمكنه جمع البيانات السرية وبيانات الدفع، والتقاط لقطات الشاشة، وتنزيل برامج ضارة إضافية، وإطلاق برامج رفض الخدمة الموزعة. هجمات الخدمة (DDoS) ضد الأهداف ذات الاهتمام.
تقوم البرامج الضارة أيضًا بجمع الملفات والبيانات من متصفحات الويب المختلفة، ومحافظ العملات المشفرة، وتطبيقات المراسلة الفورية، وعملاء SSH، وبرامج FTP، وتطبيقات تسجيل الفيديو والبث المباشر، وأدوات المصادقة، وأدوات سطح المكتب البعيد، والشبكات الافتراضية الخاصة (VPN).
“CMoon عبارة عن دودة مكتوبة بلغة .NET، مع وظائف واسعة لسرقة البيانات والتحكم عن بعد”. قال. “مباشرة بعد التثبيت، يبدأ الملف القابل للتنفيذ في مراقبة محركات أقراص USB المتصلة. وهذا يسمح لك بسرقة الملفات ذات الأهمية المحتملة للمهاجمين من الوسائط القابلة للإزالة، بالإضافة إلى نسخ فيروس متنقل إليهم وإصابة أجهزة الكمبيوتر الأخرى حيث سيتم استخدام محرك الأقراص. “
إرسال التعليق