أخرى
#ماتانبوشس
#برمجيات_خبيثة
ماتانبوشس 3.0: محمل البرمجيات الخبيثة المتطور
يستخدم القراصنة الهجمات الإلكترونية النشطة عبر التصيد الموجه، بالإضافة إلى محمل البرمجيات الخبيثة المحدث (MaaS)، لتسهيل إصابات الفدية ذات القيمة العالية. يُعتبر "ماتانبوشس" محمل برمجيات خبيثة فاخر، عمره أربع سنوات، يُباع كنموذج اشتراك على الشبكة المظلمة. وقد تم إعادة كتابة نسخته الأحدث 3.0 من الصفر، مع مجموعة من الميزات الجديدة التي "تأخذ في الاعتبار رغبات حتى أكثر العملاء دقة"، وفقًا لمطوره. تشمل هذه الميزات الجديدة وسائل جديدة لتجنب الكشف، وإقامة الاستمرارية، وتحديد أدوات الأمان في نظام الهدف.
في النهاية، وظيفة ماتانبوشس هي تسهيل تحميل وتنفيذ الحمولات الثانوية — من خلال الحصول على معلومات النظام، والمساعدة في تجاوز برامج الأمان، وما إلى ذلك. تميل تلك الحمولات الثانوية إلى أن تكون برمجيات فدية. في حملة تم تتبعها إلى سبتمبر 2024، لاحظ الباحثون من مورفيسك تهديدًا يستخدم خدع مكتب الدعم الفني لإصابة الضحايا بماتانبوشس، بهدف نهائي يتمثل في نشر أقفال. وقد شملت الضحايا شركات في مجالات العقارات والتمويل، ومن المحتمل مجالات أخرى في الولايات المتحدة وأوروبا (إنجلترا، ألمانيا، وجمهورية التشيك).
أفضل محمل للبرمجيات الخبيثة
في يوليو 2025، اتصل هاكر بموظفي منظمة، متظاهرًا بأنه ممثل عن فريق تكنولوجيا المعلومات في المؤسسة. عبر مكالمات Microsoft Teams، أقنع الهاكر موظفًا واحدًا على الأقل بتفعيل ميزة "Quick Assist"، وهي ميزة تعتمد على بروتوكول سطح المكتب البعيد (RDP) في ويندوز، تسمح للمستخدمين عن بُعد بالوصول إلى جهاز شخص ما لأغراض الدعم الفني. كما تم إقناع الموظف أو الموظفين بتنفيذ سكربت، مما أدى إلى تحميل أرشيف، والذي قام بتثبيت ماتانبوشس.
"استخدام التصيد النشط والمشارك (مثل مكالمات Microsoft Teams التي تتظاهر بمكاتب الدعم الفني) يتماشى مع التكلفة العالية والطبيعة المستهدفة لماتانبوشس،" يوضح مايكل غورليك، كبير مسؤولي التكنولوجيا في مورفيسك. بعبارة أخرى، لن يكون من المنطقي دمج ماتانبوشس في حملة إلكترونية منخفضة الجهد أو متوسطة.
قد تتراوح تكلفة محملات البرمجيات الخبيثة في السوق المتوسطة بين 1000 إلى 3000 دولار شهريًا. في المقابل، فإن النسخة الأساسية من ماتانبوشس التي تتصل بالتحكم والقيادة (C2) عبر HTTPS تكلف 10000 دولار شهريًا. بينما النسخة التي تعمل باستخدام استعلامات نظام أسماء النطاقات (DNS) تكلف 15000 دولار شهريًا.
"تعكس هذه الأسعار المميزة قدراته المتطورة وقاعدة المشتركين المحدودة، مما يدل على التركيز على الهجمات المستهدفة ذات القيمة العالية بدلاً من الحملات الجماعية. وهذا يشير إلى أن أسواق الجريمة الإلكترونية تقدر ماتانبوشس بسبب تعقيده وفعاليته ضد الأهداف المحمية جيدًا،" يقول غورليك.
ميزات ماتانبوشس 3.0
يقدر غورليك أن النسخة الأغلى من ماتانبوشس 3.0، التي تستخدم على الأرجح DNS للتحكم والقيادة، أكثر سرية وفعالية لأن "DNS أصعب في الحظر دون تعطيل العمليات التنظيمية، حيث إنه دائم النشاط ويمكنه حل النطاقات قبل تطبيق الحظر. كما أنه أكثر ملاءمة لنقل البيانات الصغيرة (مثل الأوامر) بدلاً من تسليم الملفات التنفيذية الكاملة."
ومع ذلك، فإن كلا النسختين من البرمجيات الخبيثة تُخفيان حركة مرور التحكم والقيادة الخاصة بهما وسط نشاط الشبكة العادي عن طريق انتحال شخصية تطبيق Skype لسطح المكتب. كما تستخدمان طريقة غير مباشرة لإنشاء مهام مجدولة، مما يسمح باستمرارية أكثر سرية. وتؤديان عددًا من وظائفهما السرية في الذاكرة وتسمح بتنفيذ الأوامر عبر موجه الأوامر، واستعلامات لغة استعلام إدارة ويندوز (WQL)، وقوائم PowerShell العكسية.
الأهم من ذلك، بعد جمع بعض المعلومات الأساسية عن النظام، يتحقق ماتانبوشس من وجود منتجات الكشف والاستجابة لنقاط النهاية (EDR) والعثور على الكشف والاستجابة الموسعة (XDR) المعروفة من Microsoft وCrowdStrike وSentinelOne وSophos وTrellix وCortex وBitDefender وESET وSymantec. "تُمكن هذه الاستطلاعات المهاجمين من تخصيص مراحل الهجوم اللاحقة لتجنب أو تعطيل أدوات الأمان المحددة، مما يزيد بشكل كبير من فعالية البرمجيات الخبيثة،" يحذر غورليك.
يضيف غورليك أن "الإمكانيات الإضافية، مثل تنفيذ استدعاءات النظام المباشرة (تجاوز التوصيل عبر تقنية مشابهة لـ Heaven's Gate) والتشويش الديناميكي لتجنب الكشف، تعزز بشكل أكبر قدرتها على تجاوز أنظمة الكشف المتقدمة والحفاظ على السرية، مما يجعلها تهديدًا قويًا ضد الدفاعات المتطورة."
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!