تستغل البرامج الضارة DarkGate مشاركات ملفات Samba في حملة قصيرة العمر

12 يوليو 2024غرفة الأخبارالبرامج الضارة / الهجوم السيبراني

ألقى باحثو الأمن السيبراني الضوء على حملة البرمجيات الخبيثة DarkGate قصيرة العمر والتي استفادت من مشاركات ملفات Samba لبدء العدوى.

وقالت وحدة Palo Alto Networks Unit 42 إن النشاط امتد خلال شهري مارس وأبريل 2024، حيث استخدمت سلاسل العدوى خوادم تقوم بتشغيل ملفات Samba التي تواجه الجمهور والتي تستضيف ملفات Visual Basic Script (VBS) وJavaScript. وشملت الأهداف أمريكا الشمالية وأوروبا وأجزاء من آسيا.

“كانت هذه حملة قصيرة الأمد نسبيًا توضح كيف يمكن للجهات الفاعلة في مجال التهديد إساءة استخدام الأدوات والخدمات المشروعة بشكل إبداعي لتوزيع برامجها الضارة،” هذا ما قاله الباحثون الأمنيون فيشوا ثوثاثري، وييجي سوي، وأنمول موريا، وعدي براتاب سينغ، وبراد دنكان. قال.

بوابة الظلام، والتي ظهرت لأول مرة في عام 2018، لديه تطورت في عرض البرامج الضارة كخدمة (MaaS) الذي يستخدمه عدد من العملاء الخاضعين لرقابة مشددة. فهو يأتي مزودًا بقدرات التحكم عن بعد في الأجهزة المضيفة المخترقة، وتنفيذ التعليمات البرمجية، واستخراج العملات المشفرة، وإطلاق عمليات الصدفة العكسية، وإسقاط إضافي الحمولات.

وشهدت الهجمات التي تنطوي على البرمجيات الخبيثة ارتفاعًا ملحوظًا في الأشهر الأخيرة في أعقاب قيام سلطات إنفاذ القانون متعددة الجنسيات بإزالة البنية التحتية لـ QakBot في أغسطس 2023.

تبدأ الحملة الموثقة بواسطة الوحدة 42 بملفات Microsoft Excel (.xlsx) التي، عند فتحها، تحث الأهداف على النقر فوق زر فتح مضمن، والذي بدوره يقوم بجلب وتشغيل كود VBS المستضاف على مشاركة ملف Samba.

تم تكوين البرنامج النصي PowerShell لاسترداد وتنفيذ البرنامج النصي PowerShell، والذي يتم استخدامه بعد ذلك لتنزيل حزمة DarkGate المستندة إلى AutoHotKey.

لا تختلف التسلسلات البديلة التي تستخدم ملفات JavaScript بدلاً من VBS من حيث أنها مصممة أيضًا لتنزيل وتشغيل البرنامج النصي PowerShell للمتابعة.

يعمل DarkGate عن طريق البحث عن برامج مكافحة البرامج الضارة المختلفة والتحقق من معلومات وحدة المعالجة المركزية لتحديد ما إذا كان يعمل على مضيف فعلي أو بيئة افتراضية، مما يسمح له بإعاقة التحليل. كما أنه يفحص العمليات الجارية للمضيف لتحديد مدى وجود أدوات الهندسة العكسية أو مصححات الأخطاء أو برامج المحاكاة الافتراضية.

وقال الباحثون: “تستخدم حركة مرور DarkGate C2 طلبات HTTP غير مشفرة، لكن البيانات مشوشة وتظهر كنص مشفر بـ Base64”.

“مع استمرار DarkGate في تطوير وتحسين أساليب التسلل ومقاومة التحليل، فإنها تظل بمثابة تذكير قوي بالحاجة إلى دفاعات قوية واستباقية للأمن السيبراني.”

ويأتي هذا الكشف في الوقت الذي كشفت فيه Proofpoint أن موزع البريد العشوائي الذي تم تتبعه باسم TA571 استخدم DarkGate كجزء من حملة عالمية حاولت التسلل إلى أكثر من 1000 منظمة، وبيع إمكانية الوصول إلى مهاجمين آخرين للاستغلال اللاحق.

وقالت شركة أمن المؤسسات: “امتد الهجوم عبر 14000 حملة واحتوى على أكثر من 1300 نوع مختلف من البرامج الضارة”. قال. “عملت DarkGate كوسيط وصول أولي (IAB). كان الهدف هو الحصول على وصول غير مصرح به إلى شبكات المؤسسة وأنظمتها وبيانات اعتماد المستخدمين لتصفية البيانات أو نشر برامج الفدية.