حملة حقن الويب تطلق نسخة جديدة من RAT Interlock

تستخدم حملة حقن الويب المستمرة نوعًا معززًا من حصان طروادة للوصول عن بُعد (RAT) ينتمي إلى مجموعة الفدية المعروفة باسم Interlock. نشرت شركة الذكاء التهديدي The DFIR Report بحثًا اليوم يركز على نوع جديد من RAT Interlock. تعتبر Interlock مجموعة فدية ظهرت لأول مرة في أكتوبر الماضي، وتشتهر بتكتيكات الابتزاز المزدوج، حيث يقوم المهاجمون بتشفير بيانات الضحية وتهديدهم بتسريبها إذا لم يدفعوا الفدية. وقد هاجمت العصابة سابقًا مجموعة متنوعة من المنظمات، مثل مراكز العلوم الصحية بجامعة تكساس تك في لوبيك وإل باسو في الخريف الماضي.

قدمت Quorum Cyber تفاصيل حول نوعين من RAT Interlock، والتي تتبعها تحت اسم NodeSnake، في الربيع الماضي. تم وصف أحد الأنواع، "A"، بأنه RAT "تقليدي" أكثر، مع التركيز على الوصول المستمر، والاستطلاع، والتواصل عبر القيادة والتحكم، والحمولات الثانوية. بينما كان النوع "B" أكثر تقدمًا، مع قدرات حمولة محسنة وتواصل C2 قابل للتكيف. النسخة التي تم مشاركتها اليوم من قبل The DFIR Report تتضمن تحسينات إضافية وترتبط بحملة تهديد واسعة النطاق.

لا مزيد من JavaScript لـ Interlock

تعتبر النسخة الأحدث من RAT Interlock تحولًا كبيرًا عن الأنواع السابقة بعدة طرق، جزئيًا بسبب الانتقال من JavaScript إلى PHP. يقول متحدث باسم The DFIR Report لـ Dark Reading إن الباب الخلفي المكتوب بلغة PHP يمكن أن يكون "مُهملًا بسهولة" ويوفر موطئ قدم أكثر سرية. "تسلط هذه الاكتشافات الضوء على التطور المستمر لأدوات مجموعة Interlock وتعقيد عملياتها،" قالت The DFIR Report في مدونتها البحثية. "بينما كان النوع Node.js من RAT Interlock معروفًا باستخدام Node.js، فإن هذا النوع يستفيد من PHP، وهي لغة برمجة نصية شائعة على الويب، للحصول على الوصول والحفاظ عليه إلى شبكات الضحايا."

ربط الباحثون RAT بحملة تهديد حقن ويب واسعة النطاق تُعرف باسم "KongTuke." في هذه الحملة، يقوم الزائر بزيارة موقع ويب مخترق تم حقنه بسكربت ضار من سطر واحد في HTML الخاص به. يُطلب من الزائر "التحقق" من نفسه عن طريق النقر على CAPTCHA، وفتح أمر تشغيل، ولصق تعليمات ضارة من الحافظة الخاصة بهم. "إذا تم لصقها في أمر التشغيل، ستقوم بتنفيذ سكربت PowerShell الذي يؤدي في النهاية إلى RAT Interlock،" أوضح باحثو The DFIR Report.

تقول سيلينا لارسن، الباحثة في التهديدات وقيادة تحليل المعلومات والاستراتيجية في Proofpoint، لـ Dark Reading إن حملة KongTuke تستخدم مواقع ويب شرعية لاستهداف الزوار بدلاً من استخدام موقع مزيف تم إنشاؤه حديثًا، كما هو الحال في حملات الهندسة الاجتماعية الأخرى. بمجرد أن ينفذ المستخدم النهائي الأمر، يبدأ RAT Interlock على الفور في إجراء استطلاع آلي لجهاز الضحية.

"يستخدم سلسلة من أوامر PowerShell لجمع واستخراج ملف تعريف نظام شامل كبيانات JSON. تتضمن المعلومات المجمعة مواصفات النظام التفصيلية (systeminfo)، وقائمة بجميع العمليات الجارية والخدمات المرتبطة (tasklist)، وخدمات Windows الجارية (Get-Service)، وجميع محركات الأقراص المثبتة (Get-PSDrive)، وجوار الشبكة المحلية عبر جدول ARP (Get-NetNeighbor)،" قرأ البحث. "كما يتحقق البرمجيات الخبيثة من مستوى صلاحياتها لتحديد ما إذا كانت تعمل كـ USER أو ADMIN أو SYSTEM، مما يسمح للمهاجم بفهم سياق الاختراق على الفور."

ثم يقوم المهاجم بإنشاء بنية تحتية قوية للقيادة والتحكم (C2)، ويستخدم RDP للتحرك الجانبي ضد الضحية، ويؤسس الاستمرارية. بالنسبة لـ C2، استغل المهاجمون خدمة CloudFlare Tunneling الشرعية - وهي تكتيك متزايد الشعبية بين المهاجمين.

استخدمت KongTuke (المعروفة أيضًا باسم LandUpdate 808) RAT Interlock منذ مايو، مع ظهور النسخة الجديدة المكتوبة بلغة PHP في يونيو. وقد لوحظت حملة حقن الويب أيضًا وهي تنتقل إلى نوع هجوم يسمى FileFix.

مقالات ذات صلة

الأمن السيبراني

كلمات مرور قوية: دليلك لتأمين حساباتك ضد الاختراق

منذ يوم 0

الأمن السيبراني

تحذير: ثغرة Dell خطيرة يستغلها قراصنة صينيون

منذ 3 أيام 0

الأمن السيبراني

فخ 'اكتمل النسخ': لماذا قرصك مليء بالملفات التالفة؟

منذ 3 أيام 0

الأمن السيبراني

تحذير: ثغرات خطيرة في إضافات VSCode تهدد 128 مليون مطور

منذ 3 أيام 0

الأمن السيبراني

إسبانيا تأمر NordVPN وProtonVPN بحجب مواقع قرصنة LaLiga

منذ 3 أيام 0

الأمن السيبراني

حكم تاريخي: إسبانيا تأمر NordVPN بحجب مواقع القرصنة

منذ 3 أيام 0

المهاجمون الإلكترونيون ينشرون شبكة RAT واسعة

فيما يتعلق بالضحايا، يقول متحدث باسم The DFIR Report لـ Dark Reading في بريد إلكتروني إن الاستهداف يبدو أنه انتهازي بدلاً من انتقائي. "لقد لاحظنا العديد من الضحايا عبر صناعات مختلفة في الولايات المتحدة. يعتمد متجه الوصول الأولي بشكل كبير على الهندسة الاجتماعية، حيث يتم خداع المستخدمين لتنفيذ RAT Interlock. تلك الحمولة نفسها ليست مخصصة لهدف معين - إنها أشبه بشبكة واسعة،" يقول المتحدث. "يسمح لهم هذا النموذج الانتهازي بنشر شبكة واسعة والانخراط بشكل انتقائي اعتمادًا على القيمة المتصورة أو إمكانية الوصول إلى البيانات/الأنظمة."

أما بالنسبة لتوصيات المدافعين، يقول المتحدث باسم DFIR Report إن المنظمات والأفراد يجب أن يؤكدوا على الوعي بالتصيد (خصوصًا حول مغريات من نوع ClickFix)، وحظر أو تقييد مجموعة مفاتيح Win + R (التي تفتح مربع الحوار تشغيل) كلما كان ذلك ممكنًا، وفرض أقل امتيازات/المصادقة متعددة العوامل عبر المنظمة. يجب على المنظمات أيضًا تقييد RDP للمستخدمين المصرح لهم فقط.

تتضمن أبحاث DFIR Report، التي نُشرت بالتعاون مع Proofpoint، مؤشرات على الاختراق.