الأمن السيبراني
#TAG140
#الأمن_السيبراني
TAG-140 تستهدف الحكومة الهندية بأسلوب ClickFix
TAG-140 تستهدف الحكومة الهندية عبر أسلوب 'ClickFix'
قام المهاجمون بخداع الضحايا لفتح سكربت خبيث، مما يؤدي إلى تنفيذ محمل BroaderAspect .NET.
كريستينا بيك, محررة مساعدة, Dark Reading
8 يوليو 2025
2 دقيقة قراءة
مبنى البرلمان لوزارة الدفاع في نيودلهي، الهندالمصدر: جون مايكلز عبر صور ألامي
نبذة عن الأخبار
تم رصد مجموعة قراصنة تستخدم نسخة معدلة من حصان طروادة للوصول عن بُعد (RAT) لاستهداف المنظمات الحكومية الهندية في ما يُطلق عليه حملة "TAG-140".
أشار الباحثون في مجموعة Insikt التابعة لـ Recorded Future إلى أن نشاط المهاجمين يتداخل مع SideCopy، وهي "مجموعة فرعية تشغيلية يُعتقد أنها تابعة لمجموعة Transparent Tribe". يُشتبه في أن SideCopy هي مجموعة تهديد متقدمة مرتبطة بالدولة الباكستانية.
تشير الحملة الأخيرة، التي قامت بتقليد وزارة الدفاع الهندية من خلال بوابة صحفية مقلدة، إلى "تحول طفيف ولكنه ملحوظ في كل من بنية البرمجيات الخبيثة ووظائف التحكم في الأوامر"، كما أشار الباحثون. وقد توسعت المجموعة أيضًا لتشمل منظمات مرتبطة بوزارات السكك الحديدية والنفط والغاز والشؤون الخارجية في الهند.
يعكس نشر DRAT V2 التحسين المستمر لأدوات الوصول عن بُعد الخاصة بـ TAG-140، حيث انتقلوا من نسخة .NET من DRAT إلى نسخة جديدة تم تجميعها باستخدام Delphi. تعد كلتا النسختين من RATs من بين العديد من الأدوات التي استخدمتها المجموعة، بما في ذلك CurlBack وSparkRAT وAresRAT وXeno RAT وAllaKore وReverseRAT. تقوم النسخة الثانية من DRAT بتحديث بروتوكول التحكم في الأوامر القائم على TCP وتوسيع القدرات الوظيفية للبرمجيات الخبيثة.
تحصل مجموعة التهديد على الوصول الأولي إلى جهاز الضحية من خلال ما تعتبره مجموعة Insikt "خداع اجتماعي بأسلوب ClickFix". تمكن الباحثون من تحديد آلية التسليم الدقيقة، لكنهم يشتبهون في أن المهاجمين استخدموا رسائل بريد إلكتروني تصيدية مستهدفة.
تم إغراء الضحايا لتنفيذ سكربت خبيث عبر mshta.exe، مما أدى إلى تنفيذ محمل BroaderAspect .NET، الذي تم استخدامه سابقًا من قبل TAG-140. يقوم BroaderAspect بإنشاء استمرارية وتثبيت وتنفيذ DRAT V2 لاحقًا.
ومع ذلك، أشار الباحثون أيضًا إلى أن DRAT V2 يستخدم أساليب عدوى واستمرارية أساسية، مما يجعله قابلًا للكشف من خلال التحليل الثابت والسلوكي. تتيح القدرات الأخرى للبرمجيات الخبيثة تنفيذ مجموعة واسعة من الإجراءات، مثل استخراج البيانات، وتحميل حمولات إضافية، وإجراء الاستطلاع.
توفر هذه الوظائف لـ TAG-140 السيطرة المستمرة والمرنة على النظام المصاب وتسمح بأنشطة ما بعد الاستغلال التلقائية والتفاعلية دون الحاجة إلى نشر أدوات برمجيات خبيثة مساعدة. سيكون من الضروري مراقبة بنية التصيد، وإعادة استخدام المحمل، ومؤشرات السلوك، بدلاً من عائلات البرمجيات الخبيثة المحددة، للحفاظ على الرؤية في نشاط TAG-140.
اقرأ المزيد عن:
DR Global Asia Pacificعن المؤلف
كاتبة ومحررة ماهرة تغطي الأمن السيبراني لـ Dark Reading.
شاهد المزيد من كريستينا بيك
-
تقرير الدفاع القائم على التهديد لعام 2025 - الأول من نوعه في الصناعة.
-
التأثير الاقتصادي الكلي لمنصة أمان الشبكة Strata من Palo Alto Networks
-
تقرير الاستجابة العالمية للحوادث 2025
-
Magic Quadrant لجدار الحماية الهجين
-
تقييم تنافسي لجدار الحماية السحابي NGFW (الجيل التالي) من Miercom
الوصول إلى المزيد من الأبحاث
-
Deepfake: تمكين مستخدميك للتعرف على ما يمكن أن تفعله الذكاء الاصطناعي
-
أتمتة الأمان: تنفيذ دفاتر اللعب الفعالة
-
من الشك إلى الاتجاه: ماذا يعني الذكاء الاصطناعي حقًا لأمان التطبيقات
-
التهديد غير المرئي: كيف تتفوق البرمجيات الخبيثة المتعددة الأشكال على أمان بريدك الإلكتروني
-
تشريح نظام الذكاء الاصطناعي الوكيلة: فهم البنية وراء الأمان الأسرع والأذكى والتنبؤي
تُعتبر GISEC GLOBAL أكبر وأهم تجمع للأمن السيبراني في منطقة الشرق الأوسط وأفريقيا، حيث تجمع بين كبار مسؤولي الأمن السيبراني العالميين، وقادة الحكومات، ومشتري التكنولوجيا، والهاكرز الأخلاقيين، وذلك على مدار ثلاثة أيام مليئة بالابتكار والاستراتيجيات، بالإضافة إلى تدريبات حية في مجال الأمن السيبراني.
📌 احجز مساحتك
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!