الأمن السيبراني
#AsyncRAT
#البرمجيات_الخبيثة
AsyncRAT: تهديدات البرمجيات الخبيثة الحديثة
أصبح AsyncRAT، وهو أداة برمجية خبيثة مفتوحة المصدر ظهرت لأول مرة في عام 2019، تهديدًا شائعًا، حيث تغذي قاعدة شيفرته متاهة من الفروع والنسخ المستخدمة الآن من قبل مجرمي الإنترنت في جميع أنحاء العالم. يبدو أن معظم مستخدميه هم أفراد يعملون بمفردهم، وقد يجذبهم توفر الشيفرة بسهولة على منصات مثل GitHub. تتراوح النسخ نفسها من منصات هجوم قوية إلى إبداعات شخصية غريبة، مما يجعل AsyncRAT نموذجًا لكيفية ديمقراطية البرمجيات الخبيثة مفتوحة المصدر، وفقًا لأبحاث جديدة من ESET.
ركيزة من ركائز البرمجيات الخبيثة الحديثة
كتب بائع الأمن: "لقد رسخ AsyncRAT مكانته كركيزة من ركائز البرمجيات الخبيثة الحديثة". "بينما ليست قدراته مثيرة للإعجاب بمفردها، فإن الطبيعة المفتوحة المصدر لـ AsyncRAT قد زادت من تأثيره بشكل كبير." أطلق فرد يحمل اسم Nyan Cat AsyncRAT على GitHub في عام 2019. تم كتابة البرمجية بلغة C# وتتميز بجميع القدرات القياسية لبرمجيات الوصول عن بُعد، بما في ذلك تسجيل ضغطات المفاتيح، والتقاط الشاشة، وسرقة بيانات الاعتماد. يسمح تصميمها القابل للتعديل للمهاجمين بإضافة وظائف خبيثة إضافية.
منذ ذلك الحين، ولدت الشيفرة ما وصفته ESET بأنه متاهة من الفروع والنسخ، بعضها خطير للغاية، والبعض الآخر أقل خطورة. من بين النسخ الأكثر قوة هي DcRat وVenomRAT، وهما من أكثر النسخ انتشارًا للبرمجية الأصلية. أظهرت تحليلات ESET أن DcRAT أكثر تطورًا بكثير من AsyncRAT الأصلي في آليات نقل البيانات، وفي تقنيات التعتيم والتجنب. وجدت ESET أن هذه النسخة تدعم أيضًا المزيد من الإضافات، بما في ذلك تلك التي تسمح بالوصول إلى كاميرات الويب وتسجيلات الميكروفون، وسرقة رموز Discord، وحتى تشفير البيانات على الأنظمة المخترقة. تدعم VenomRAT العديد من نفس القدرات ومن المحتمل أنها مستوحاة من DcRAT، وفقًا لـ ESET. "البرمجية محملة بالكثير من الميزات لدرجة أنه يمكن اعتبارها تهديدًا منفصلًا بحد ذاتها"، أشار بائع الأمن.
في الطرف الآخر من الطيف، توجد نسخ AsyncRAT مثل BoratRAT وJasonRAT وNonEuclid RAT، التي تبدو أكثر كفروع غريبة وفضولية بدلاً من تهديدات جدية. على سبيل المثال، تتضمن NonEuclid RAT إضافة تحتوي على خمس صور مفاجئة، وأخرى تشغل ملفات صوتية WAV عشوائية.
لفصل النسخ الخطيرة عن الأقل خطورة، استخدمت ESET مجموعة من البيانات الحقيقية وتحليل قدرات البرمجيات الخبيثة، كما يقول نيكولا كنيزيفيتش، محلل البرمجيات الخبيثة لدى بائع الأمن. "تعتبر الفروع مثل DcRAT تهديدات خطيرة بسبب انتشارها الواسع وميزاتها المتقدمة مثل تجاوز AMSI/ETW، ووحدات الفدية، وتقنيات مقاومة التحليل"، يقول.
"تشير بياناتنا إلى أن AsyncRAT يُستخدم بشكل متزايد من قبل أفراد يعملون بمفردهم [على الأرجح] بسبب انخفاض العوائق أمام دخول المهاجمين"، يقول كنيزيفيتش. كانت العديد من الفروع التي واجهتها ESET مجرد تعديلات في اسم النسخة وبعضها، مثل XieBroRAT، تشير إلى تكيفات إقليمية. "ومع ذلك، فإن هذه العلامات لا تؤكد النية أو الأصل. بشكل عام، تظل AsyncRAT وفروعها أداة موزعة عالميًا دون نسب ثابت لمجموعات معينة من المهاجمين." في وقت سابق من هذا العام، أفاد باحثون في HP Wolf Security أنهم رصدوا تهديدًا يستخدم GenAI لكتابة شيفرة لتوزيع AsyncRAT - وهي أول حالة معروفة من نوعها.
الهجمات الإلكترونية المدفوعة بالشيفرة مفتوحة المصدر
يعزو كنيزيفيتش انتشار AsyncRAT وطول عمره إلى منصات مثل GitHub، التي تمنح المهاجمين وسيلة لاستضافة شيفرتهم ليتمكن الآخرون من الوصول إليها. على الرغم من سوء الاستخدام الواسع من قبل المهاجمين، غالبًا ما تتجنب هذه الفروع الإزالة لأنها تُصنّف كأدوات وصول عن بُعد شرعية، كما يقول. وعندما يتم إزالتها، من المحتمل أن تظهر مرة أخرى تحت أسماء جديدة أو مع تغييرات طفيفة.
"علاوة على ذلك، فإن استهداف حالات AsyncRAT أمر صعب بطبيعته جزئيًا لأنه لا يوجد "بنية تحتية مركزية" لتفكيكها"، يشير كنيزيفيتش. "تستخدم البرمجية على مستوى عالمي من قبل مجموعة واسعة من المهاجمين مما يجعل التنسيق في تعطيلها أكثر تعقيدًا وغير عملي." تعتبر الدفاعات متعددة الطبقات التي تجمع بين الكشف السلوكي، ومراقبة الشبكة، وضوابط الكشف والاستجابة على النقاط النهائية ضرورية للحماية ضد تهديدات مثل AsyncRAT. غالبًا ما يقوم المهاجمون بتسليم AsyncRAT عبر رسائل البريد الإلكتروني الاحتيالية ويستخدمون مجموعة متنوعة من تقنيات التعتيم والتجنب لتفادي الكشف، كما يقول كنيزيفيتش. لذا يجب أن يكون التركيز بالنسبة لفرق الأمان على رصد تنفيذ السكربتات الخبيثة، وحركة المرور غير العادية الصادرة، ومحاولات الوصول عن بُعد غير العادية.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!