الصفحات
بحث
الذئب الفضي مشتبه به في حملة تجسس باستخدام DeepSeek
الأمن السيبراني #الذئب_الفضي #DeepSeek

الذئب الفضي مشتبه به في حملة تجسس باستخدام DeepSeek

تاريخ النشر: آخر تحديث: 22 مشاهدة 0 تعليق 5 دقائق قراءة
مروان المسلماني
مروان المسلماني رئيس التحرير والمؤسس
22 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

الذئب الفضي مشتبه به في الحملة التايوانية باستخدام طُعم DeepSeek

تستخدم الهجمة أسلوب التحميل الجانبي لتوزيع نسخة من البرمجيات الخبيثة الشهيرة Gh0stRAT، وتغري الضحايا من خلال التظاهر - من بين أمور أخرى - بأنها مثبت مزعوم لـ DeepSeek's LLM.

تستخدم حملة تجسس إلكتروني باللغة الصينية وعد مثبت لـ R1 من DeepSeek لإصابة أنظمة المواطنين التايوانيين المستهدفين بالبرمجيات الخبيثة، في أحدث هجوم إلكتروني يستغل البرمجيات الشائعة في المنطقة كطُعم.

الهجمة، التي يُحتمل أن تكون نفذتها مجموعة التجسس الإلكتروني المرتبطة بالصين والمعروفة باسم الذئب الفضي، تستهدف الناطقين بالصينية من خلال صفحات تصيد ومثبتات مكتوبة باللغة الماندرين، والتي تعد بتثبيت برمجيات وخدمات شائعة، مثل محرك البحث Sougou، ومجموعة إنتاجية WPS Office، وDeepSeek's LLM. المستخدمون الذين يقومون بتشغيل المثبتات المزيفة سيحصلون على البرمجيات، لكن أنظمتهم ستتعرض للاختراق بواسطة Sainbox RAT، وهو نوع من البرمجيات الخبيثة المستندة إلى Gh0stRAT.

بشكل عام، حققت الهجمة بعض النجاح، لكنها لا تبدو أنها تستهدف أي منظمة معينة، كما يقول راي كانزانيز، مدير مختبرات التهديدات في شركة Netskope للأمن السحابي.

"أسلوب الذئب الفضي هو استهداف المنظمات والأفراد التايوانيين،" كما يقول. "استخدام البرمجيات المثبتة المزيفة هو شيء شهدناه منذ زمن طويل في مجال الأمن السيبراني... إنها واحدة من تلك التقنيات التي يبدو أنها دائمًا ما تجد بعض الضحايا، لذا ترى الأعداء يستمرون في استخدامها."

تستفيد الحملة الأخيرة من الشعبية المتزايدة لنموذج اللغة الكبير R1 من DeepSeek، الذي حظي باهتمام كبير عندما أصدرت الشركة روبوت المحادثة في يناير. خلال أسابيع قليلة، بدأ المهاجمون بالفعل في استخدام الاهتمام بروبوت المحادثة AI لهجمات التصيد وزرع إعلانات مزيفة لتقنية الذكاء الاصطناعي مع البرمجيات الخبيثة.

مرتبط: مجموعة Fancy Bear الروسية تواصل سرقة الأسرار العالمية

"السبب في استخدامهم لـ Deepseek هو نفس السبب الذي يجعلهم يستخدمون WPS Office - إنه شائع جدًا بين الناطقين بالصينية في جميع أنحاء العالم، لذا من المحتمل أن يخرج الناس للبحث عن المثبتات وتحميلها،" كما يقول كانزانيز. "لذا قاموا بإنشاء الطعوم، وأنشأوا المواقع، وكانوا يأملون حقًا أن تكون شعبية تلك الأدوات كافية لخداع الناس للنقر عليها وتحميلها."

تجسس، مع جانب من الجريمة الإلكترونية

في الغالب، تركز مجموعة الذئب الفضي على التجسس، لكنها أحيانًا تقوم بعمليات مدفوعة ماليًا لأغراض الربح وأيضًا كغطاء تشغيلي، كما يقول الخبراء.

تميل المجموعة إلى استخدام برامج التشغيل الضعيفة والمكتبات الديناميكية (DLLs). في وقت سابق من هذا العام، اكتشف الباحثون في شركة Check Point Software Technologies للأمن السيبراني أن المهاجمين من المجموعة كانوا يستخدمون برنامج تشغيل ضعيف قديم لزيادة الامتيازات على الأنظمة المستهدفة. يُعرف هذا الهجوم باسم "إحضار برنامج التشغيل الضعيف الخاص بك" (BYOVD)، وله تشابهات مع تحميل DLL الجانبي، والذي يستغل طريقة تحميل تطبيقات Windows للمكتبات الديناميكية.

مرتبط: هاكرز مرتبطون بحماس يستهدفون الدبلوماسيين في الشرق الأوسط

A fake DeepSeek web page used by the Silver Fox group
A fake DeepSeek web page used by the Silver Fox group

الصفحة المزيفة للبرنامج المثبت المزعوم لـ DeepSeek تحاكي الصفحة الحقيقية. المصدر: Netskope

تظل كلتا التقنيتين شائعتين بين المجموعات المدعومة من الدول والمجرمين الإلكترونيين، كما يقول بيتر جيرنوس، باحث تهديدات أول في مبادرة Zero Day في شركة Trend Micro.

"يظل تحميل DLL الجانبي شائعًا بين المجموعات المدعومة من الدول والمجرمين. يستغل كيفية تحميل Windows للمكتبات الديناميكية، مما يسمح للمهاجمين بتشغيل التعليمات البرمجية الخبيثة عبر تطبيقات موثوقة تعتمد على المكتبات الديناميكية. هذه الطريقة فعالة لتجاوز ضوابط الأمان من خلال التعلق بالتطبيقات الموثوقة وغالبًا ما تستخدم في الهجمات الحديثة."

Gh0stRAT تواصل مطاردتها لآسيا والمحيط الهادئ

تظل نسخ Gh0stRAT شائعة بين مجموعات التجسس الإلكتروني والمجرمين الإلكترونيين في منطقة آسيا والمحيط الهادئ. الهجمة الأخيرة تستخدم نسخة تُعرف باسم Sainbox، والتي توفر للمهاجم السيطرة الكاملة على جهاز الضحية. عادةً، يمكن للمهاجمين تنزيل وتنفيذ أدوات وحمولات أخرى، واستخراج بيانات حساسة، وإجراء هجمات فدية.

استخدمت مجموعة الذئب الفضي ومجموعة تهديد أخرى تُعرف باسم Void Arachne Gh0stRAT كأساس لإطار عمل خبيث متقدم، Winos4.0، الذي - مشابهًا للحملة الأخيرة - استخدم أدوات تثبيت مزيفة وأدوات تحسين لتطبيقات الألعاب لجذب الضحايا المحتملين، وفقًا للبحث المنشور في نوفمبر 2024.

مرتبط: الشركات اليابانية تعاني من آثار طويلة الأمد لهجمات الفدية

"Gh0stRAT... بمجرد أن تم تسريبه، بدأ الجميع في استخدامه، وهو شائع جدًا بين المجموعات التهديدية الصينية،" كما يقول كانزانيز من Netskope. "حتى الذئب الفضي يستخدم العديد من النسخ المختلفة منه، دائمًا ما ينشئون نسخًا جديدة بميزات محددة تعتمد على الحملة."

تقوم مجموعة التهديد أحيانًا أيضًا بتنزيل Rootkit آخر، Hidden، الذي - كما يوحي اسمه - يركز على الأنشطة الخفية، وإخفاء الحمولات الخبيثة، وحماية أدوات المهاجم من إنهائها بواسطة برامج الأمان.

بشكل عام، نجح الذئب الفضي في اختراق الشبكات الصحية والحكومية والصناعية، مثبتًا أدوات التجسس الإلكتروني التي تسمح بسرقة البيانات والمراقبة طويلة الأمد، كما يقول جيرنوس من Trend Micro. في البيئات الصحية، تسببت الهجمات في اختراق بيانات المرضى والأنظمة الحيوية، بينما تظل تأثيرات الهجمات الأخرى غير معلنة، كما يضيف.

تسلط الهجمات الضوء على أهمية تقييد البرمجيات إلى المصادر الموثوقة، ولكن أيضًا لتقسيم الشبكات وعزل الأنظمة الحيوية في حال قامت حتى المصادر الموثوقة بدفع رموز مخترقة.

يجب على الشركات "تدريب الموظفين على التصيد والنشاطات المشبوهة، ومراقبة مؤشرات الاختراق، وفرض الوصول الأقل امتيازًا ومبادئ الثقة الصفرية، [واستخدام] المراقبة السلوكية لاكتشاف الأنشطة غير المعتادة،" كما يقول جيرنوس.

تُعد GISEC GLOBAL الحدث الأبرز والأكبر في مجال الأمن السيبراني في منطقة الشرق الأوسط وإفريقيا، حيث يجمع قادة الأمن السيبراني العالميين، وزعماء الحكومات، والمشترين في مجال التكنولوجيا، والقراصنة الأخلاقيين، على مدار ثلاثة أيام مليئة بالابتكار، والاستراتيجيات، والتدريبات الحية في مجال الأمن السيبراني.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##الذئب_الفضي ##DeepSeek

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!