الصفحات
بحث
هجمات الفدية Interlock تعتمد طريقة FileFix لتوصيل البرمجيات الخبيثة
الأمن السيبراني #InterlockRansomware #FileFix

هجمات الفدية Interlock تعتمد طريقة FileFix لتوصيل البرمجيات الخبيثة

تاريخ النشر: آخر تحديث: 20 مشاهدة 0 تعليق 3 دقائق قراءة
مروان المسلماني
مروان المسلماني رئيس التحرير والمؤسس
20 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

تزايدت عمليات هجمات الفدية Interlock في الأشهر الماضية، حيث اعتمد القراصنة تقنية جديدة تُعرف باسم 'FileFix' لتوصيل برمجيات خبيثة على الأنظمة المستهدفة.

Interlock ransomware adopts FileFix method to deliver malware
Interlock ransomware adopts FileFix method to deliver malware

تطور أساليب الهجوم

بدأت عمليات Interlock باستخدام مُحقن الويب KongTuke (المعروف أيضًا باسم 'LandUpdate808') لتوصيل الحمولة عبر مواقع الويب المخترقة. وقد لوحظ هذا التحول في أسلوب العمل من قبل الباحثين في تقرير DFIR وProofpoint منذ مايو.

في ذلك الوقت، تم تحفيز زوار المواقع المخترقة على تجاوز CAPTCHA مزيف، ثم لصق محتوى تم حفظه تلقائيًا في الحافظة في حوار التشغيل، وهي تقنية تتماشى مع هجمات ClickFix.

هذا الخداع أدى إلى تنفيذ مستخدمين لسكريبت PowerShell الذي قام بتحميل وإطلاق نسخة من RAT Interlock المعتمدة على Node.js.

في يونيو، وجد الباحثون نسخة معتمدة على PHP من RAT Interlock مستخدمة في البرية، والتي تم توصيلها باستخدام نفس مُحقن KongTuke.

في وقت سابق من هذا الشهر، حدث تغيير كبير في طريقة التوصيل، حيث انتقلت Interlock الآن إلى استخدام النسخة FileFix من طريقة ClickFix كطريقة التوصيل المفضلة.

أسلوب FileFix في الهجوم

FileFix هو تقنية هجوم تعتمد على الهندسة الاجتماعية تم تطويرها من قبل الباحث الأمني mr.d0x. إنها تطور لهجوم ClickFix، الذي أصبح واحدًا من أكثر طرق توزيع الحمولة استخدامًا على مدار العام الماضي.

في النسخة FileFix، يقوم المهاجم بتسليح عناصر واجهة المستخدم الموثوقة في Windows، مثل File Explorer وتطبيقات HTML (.HTA)، لخداع المستخدمين لتنفيذ كود PowerShell أو JavaScript الضار دون عرض أي تحذيرات أمان.

يتم تحفيز المستخدمين على "فتح ملف" عن طريق لصق سلسلة منسوخة في شريط عنوان File Explorer. السلسلة هي أمر PowerShell مخفي ليبدو كمسار ملف باستخدام بناء جملة التعليق.

في الهجمات الأخيرة، يُطلب من الأهداف لصق أمر مُخفي بمسار ملف مزيف في File Explorer، مما يؤدي إلى تحميل RAT PHP من 'trycloudflare.com' وتنفيذه على النظام.

بعد الإصابة، يقوم RAT بتنفيذ سلسلة من أوامر PowerShell لجمع معلومات النظام والشبكة وإخراج هذه البيانات كـ JSON منظم إلى المهاجم.

كما يذكر تقرير DFIR أيضًا أدلة على نشاط تفاعلي، بما في ذلك تعداد Active Directory، والتحقق من النسخ الاحتياطية، والتنقل في الدلائل المحلية، وفحص وحدات التحكم في النطاق.

يمكن لخادم القيادة والتحكم (C2) إرسال أوامر شل لتنفيذها بواسطة RAT، وإدخال حمولة جديدة، وإضافة الاستمرارية عبر مفتاح تشغيل السجل، أو التحرك جانبيًا عبر سطح المكتب البعيد (RDP).

تم إطلاق ransomware Interlock في سبتمبر 2024، مدعيًا ضحايا بارزين مثل جامعة Texas Tech وDaVita وKettering Health. وقد استخدمت عملية الفدية ClickFix لإصابة الأهداف، ولكن تحولها إلى FileFix يشير إلى أن المهاجم سريع في التكيف مع أساليب الهجوم الأكثر سرية.

هذه هي أول تأكيد عام لاستخدام FileFix في الهجمات الإلكترونية الفعلية. من المحتمل أن تزداد شعبيتها مع استكشاف المهاجمين طرق دمجها في سلاسل هجماتهم.

الخلاصة

تظهر هجمات الفدية Interlock تطورًا ملحوظًا في أساليب الهجوم، مما يجعل من الضروري على المؤسسات تعزيز تدابير الأمان لديها لمواجهة هذه التهديدات المتزايدة.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##InterlockRansomware ##FileFix ##Cybersecurity

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!