أمن معلوماتي

يقوم قراصنة Lazarus بنشر برامج الفدية وسرقة البيانات باستخدام برامج MATA الضارة

تم استخدام إطار عمل ضار تم اكتشافه مؤخرًا يعرف باسم MATA ويرتبط بمجموعة القرصنة المدعومة من كوريا الشمالية والمعروفة باسم Lazarus في الهجمات التي تستهدف كيانات الشركات من بلدان متعددة منذ أبريل 2018 لنشر برامج الفدية وسرقة البيانات.

من بين البلدان المستهدفة ، باحثو الأمن مع فريق البحث والتحليل العالمي (GReAT) من Kaspersky Lab الذين اكتشفوا MATA ذكروا بولندا وألمانيا وتركيا وكوريا واليابان والهند.

استخدم Lazarus (الذي تم تتبعه أيضًا باسم HIDDEN COBRA بواسطة مجتمع الاستخبارات بالولايات المتحدة والزنك بواسطة Microsoft) MATA لإخلال وإصابة أجهزة الشركات ذات الأنشطة في مختلف الصناعات ، بما في ذلك على سبيل المثال لا الحصر شركة تطوير البرمجيات ومزود خدمة الإنترنت و شركة التجارة الإلكترونية.

إقرأ أيضا :

في حين أن تقرير كاسبيرسكي لا يذكر دوافع المهاجمين ، فإن المتسللين الكوريين الشماليين معروفون بدوافعهم المالية كما هو موضح في حملاتهم – لقد اخترقوا Sony Films في عام 2014 كجزء من عملية Blockbuster وكانوا خلف وباء WannaCry العالمي لعام 2017 .

منذ أن تم رصدها لأول مرة في عام 2007 ، شن Lazarus هجمات ضد المنظمات المالية من الهند والمكسيك وباكستان والفلبين وكوريا الجنوبية وتايوان وتركيا وشيلي وفيتنام ، وكذلك على تبادل وأهداف BitCoin في مجال الطيران والهندسة والحكومة ووسائط الإعلام وقطاعات صناعة التكنولوجيا.

إقرأ أيضا :تقدم الولايات المتحدة 2 مليون دولار مكافآت لمن يساعدهم في القبض على قراصنة SEC

إطار MATA للبرامج الضارة
MATA عبارة عن إطار عمل معياري يحتوي على العديد من المكونات بما في ذلك اللودر والأوركستراتور والمكونات الإضافية المتعددة ، ويمكن استخدامه لإصابة أنظمة Windows و Linux و macOS.

خلال هجماتهم ، يمكن للمتسللين استخدام MATA لتحميل العديد من المكونات الإضافية في أوامر تشغيل ذاكرة النظام المصاب ، ومعالجة الملفات والعمليات ، وحقن ملفات DLL ، وإنشاء وكلاء HTTP والأنفاق على أجهزة Windows.

إقرأ أيضا :ستعطي Apple هواتف iPhone “الخاصة” للهكر والباحثين في مجال الأمن

تسمح مكونات MATA الإضافية للمتسللين بالبحث عن أهداف جديدة على أجهزة macOS و Linux (أجهزة التوجيه أو الجدران النارية أو أجهزة إنترنت الأشياء). على منصة macOS ، يمكن لـ MATA أيضًا تحميل وحدة plugin_socks التي يمكن استخدامها لتكوين الخوادم الوكيلة.

أثناء تحليل القياس عن بعد ، اكتشف باحثو كاسبيرسكي أن المتسللين يستخدمون محمل برامج ضارة لتحميل حمولة مشفرة في المرحلة التالية (والتي قد تكون منسق الإطار).

ويوضح التقرير: “لسنا متأكدين من أن الحمولة المحملة هي برنامج ضابط orchestrator ، ولكن جميع الضحايا تقريبًا لديهم أداة تحميل و orchestrator على نفس الجهاز”.

بمجرد نشر إطار عمل MATA للبرامج الضارة بالكامل ، يحاول المشغلون العثور على قواعد بيانات تحتوي على معلومات حساسة خاصة بالعملاء أو الأعمال ، وسوف يقومون بتشغيل استعلامات قاعدة البيانات لجمع قوائم العملاء واستخراجها.

في حين لم يكن لدى الباحثين مؤشرات قاطعة على أن لعازر كان قادرًا بالفعل على سرقة البيانات التي قاموا بجمعها أثناء الهجمات ، فإن إخراج قواعد البيانات هذه من ضحاياهم هو بالتأكيد أحد أهدافهم ، جنبًا إلى جنب مع برامج الفدية VHD كما رأينا في حالة إحدى الشركات التي تسوية.

نشر باحثو Qihoo 360 Netlab أيضًا تحليلًا لمكونات Windows و Linux لإطار MATA (الذي أطلقوا عليه اسم Dacls) في ديسمبر 2019.

اتصال MAT’s Lazarus
تم ربط إطار MATA بمجموعة Lazarus APT بواسطة Kaspersky استنادًا إلى أسماء ملفات orchestrator الفريدة التي تم استخدامها في إصدارات Manuscrypt trojan (المعروفة أيضًا باسم Volgmer).

تم نشر عينات من Manuscrypt بشكل عام من قبل وزارة الأمن الداخلي (DHS) ومكتب التحقيقات الفيدرالي (FBI) في عام 2017 عبر تقرير تحليل البرامج الضارة US-CERT.

يذكر تقرير كاسبيرسكي أيضًا بيانات التكوين العالمية المماثلة التي تشاركها MATA مع Trojan Lazus’s Manuscrypt Trojan ، بما في ذلك “معرف الجلسة الذي تم إنشاؤه عشوائيًا ، ومعلومات الإصدار المستندة إلى التاريخ ، والفاصل الزمني للنوم ، وعدة خوادم C2s و C2.”

ويخلص كاسبيرسكي إلى أن “إطار MATA مهم لأنه قادر على استهداف منصات متعددة: Windows و Linux و macOS”.

“بالإضافة إلى ذلك ، استخدم الفاعل وراء إطار البرامج الضارة المتقدم هذا لنوع من هجوم الجرائم الإلكترونية الذي يسرق قواعد بيانات العملاء ويوزع برامج الفدية.”

Marwan AlMeslmani

مروان المسلماني , لبناني من محافظة البقاع بالتحديد . اعمل في مجال تصميم وبرمجة المواقع وتطبيقات الجوال ومجال الأمن المعلوماتية . كما انني حصلت على شهادة معتمدة من شركة Google Adword في مجال التسويق الإلكتروني وشهادة من CEH بمجال الأمن المعلوماتية

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى

يرجة ايقاف برنامج Ad-Block لدخول

برجاء دعمنا عن طريق تعطيل إضافة Adblock