حملة تعرف باسم "البقاء حيا" تستهدف بشكل نشط المنظمات الحكومية ومقدمي خدمات الاتصالات في جميع أنحاء آسيا منذ عام 2021.
هدف الهجوم
استخدام مجموعة متنوعة من البرامج الضارة "القابلة للتخلص منها" لتجنب الاكتشاف، تركز الحملة في المقام الأول على الكيانات في كازاخستان وأوزبكستان وباكستان وفيتنام، حيث تقوم شركة Check Point، وهي شركة للأمن السيبراني، بتتبع هذه الأنشطة.
لاحظ باحثو تشيك بوينت استخدام جهات التهديد أدوات مخصصة متنوعة في هذه الحملة. صُممت هذه الأدوات بحيث يسهل التخلص منها، مما يُصعّب ربط الهجمات ببعضها أو بمجموعات أدوات معروفة.
طريقة التشغيل
يبدأ الهجوم عبر رسائل بريد إلكتروني احتيالية موجهة لأفراد محددين داخل مؤسسات رئيسية. تطلب هذه الرسائل من المستلمين فتح ملف ZIP يحتوي على ملف تنفيذي موقّع رقميًا يطابق سياق البريد الإلكتروني وملف DLL ضار. يُعرّف هذا الملف DLL "CurKeep" يُدخل CurKeep، وهو برنامج خبيث بحجم 10 كيلوبايت، برمجيات خبيثة إلى النظام. يُنشئ CurKeep ثباتًا، وينقل معلومات النظام إلى خادم الأوامر والتحكم (C2)، وينتظر تعليمات إضافية.
بالإضافة إلى CurKeep، تنشر الحملة أدوات إضافية مثل CurLu وCurCore وCurLog loaders، ولكل منها وظائف وآليات إصابة مميزة. يتميز CurCore بقدرته على إنشاء الملفات وتنفيذ الأوامر عن بُعد ومعالجة البيانات.
هناك باب خلفي مميز آخر، وهو "StylerServ"، يعمل كمستمع سلبي يراقب منافذ محددة بحثًا عن ملفات تكوين مشفرة. لا يزال الغرض الدقيق منه غير معلن، ولكن يُفترض أنه يعمل كآلية تكوين لمكونات أخرى من البرامج الضارة.
تُصمّم الحملة هذه الأدوات لأهداف إقليمية محددة، باستخدام عينات ومتغيرات متنوعة. قد لا تُمثّل هذه الأدوات المُحدّدة سوى جزء من حملة أوسع نطاقًا تتضمن أدوات وأساليب هجوم غير مُكتشفة.
وعلى الرغم من تنوع هذه الأدوات وإمكانية تخصيصها، فمن المفترض أنها جميعها متصلة بنفس البنية التحتية، والتي كانت مرتبطة في السابق بمجموعة ToddyCat، وهي مجموعة من الجواسيس الإلكترونيين الصينيين.
أحد البرامج الضارة البارزة التي تم اكتشافها هو 'عميل النينجا'، مزود بإدارة الملفات وإمكانيات الغلاف العكسي.
كما قامت ToddyCat بنشر أدوات أخرى مثل LoFiSe، وCobalt Strike، وDropBox Uploader، وباب خلفي سلبي لـ UDP في هذه الهجمات، مما يشير إلى اتساع وتعقيد عملياتها.
الوقاية عامل حاسم
RELIANOID تقدم حلولاً متطورة مصممة لـ منع وتخفيف التهديدات السيبرانية المعقدة مثل حملة "البقاء على قيد الحياة" التي رُصدت في جميع أنحاء آسيا. بالاستفادة من استخبارات التهديدات المتقدمة وتدابير الأمن التكيفية، RELIANOIDتكتشف منصة "أمان" أنواعًا مختلفة من البرمجيات الخبيثة المُستخدمة في هذه الهجمات وتُحبطها، وذلك من خلال تحليل فحص المحتوى ومنع تنزيل الملفات القابلة للتنفيذ. ومن خلال استخدام المراقبة الاستباقية، وتحليل السلوك، وبروتوكولات الأمان القابلة للتخصيص، RELIANOID ويعمل على تعزيز الشبكات والأنظمة بشكل فعال ضد مثل هذه الاختراقات السيبرانية المتطورة. تنزيل موازن التحميل الجاهز للمؤسسات واستمتع بتجربة موثوقية الموقع.
مدونات ذات صلة
