الصفحات
بحث
تحذير أمني: عصابة Crazy تستغل أدوات مراقبة الموظفين
الأمن السيبراني #أمن_سيبراني #برمجيات_الفدية

تحذير أمني: عصابة Crazy تستغل أدوات مراقبة الموظفين

منذ ساعة 4 مشاهدة 0 تعليق 2 دقائق قراءة
Latest news and stories from BleepingComputer.com
Latest news and stories from BleepingComputer.com مصدر إخباري
4 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

كشف باحثون أمنيون في شركة Huntress عن حملة جديدة لعصابة برمجيات الفدية المعروفة باسم "Crazy"، حيث يقوم المهاجمون باستغلال برامج مراقبة الموظفين الشرعية وأدوات الدعم عن بُعد للبقاء داخل شبكات الشركات وتجنب الكشف.

استغلال الأدوات الشرعية للتخفي

وفقاً للتحقيقات، رصد الباحثون عدة حوادث قام فيها المهاجمون بنشر برنامج "Net Monitor for Employees Professional" جنباً إلى جنب مع أداة "SimpleHelp" للوصول عن بُعد. يهدف هذا التكتيك إلى دمج أنشطة الاختراق مع الأنشطة الإدارية الطبيعية للشبكة، مما يصعّب اكتشافهم.

في إحدى حالات الاختراق، استخدم المهاجمون أداة تثبيت ويندوز (msiexec.exe) لتثبيت برنامج المراقبة مباشرة من موقع المطور. وبمجرد التثبيت، أتاحت الأداة للمهاجمين عرض سطح مكتب الضحية، ونقل الملفات، وتنفيذ الأوامر عن بُعد، مما منحهم سيطرة تفاعلية كاملة على الأنظمة المخترقة.

تكتيكات البقاء وتعطيل الحماية

لضمان استمرار الوصول إلى الشبكة، حاول المهاجمون تفعيل حساب المسؤول المحلي (Administrator)، كما قاموا بتنزيل وتثبيت عميل الوصول عن بُعد SimpleHelp عبر أوامر PowerShell. وللتمويه، استخدموا أسماء ملفات تشبه ملفات النظام الشرعية مثل Visual Studio vshost.exe أو OneDriveSvc.exe.

استهداف العملات الرقمية وتعطيل الدفاعات

لم يكتفِ المهاجمون بالمراقبة فحسب، بل قاموا بتعطيل برنامج الحماية Windows Defender عبر إيقاف وحذف الخدمات المرتبطة به، كما تظهر الصورة المرفقة التي توضح محاولات تعطيل خدمات الأمان.

وفي حادثة لافتة، قام القراصنة بتهيئة قواعد المراقبة في SimpleHelp لتنبيههم عند وصول الأجهزة إلى محافظ العملات الرقمية أو منصات الدفع. وشملت الكلمات المفتاحية التي تمت مراقبتها خدمات مثل MetaMask وExodus وBinance وPayoneer، بالإضافة إلى مراقبة أدوات الوصول عن بُعد الأخرى مثل AnyDesk وTeamViewer.

كيفية الحماية

أكدت Huntress أن نقاط الدخول في الحالتين كانت عبر بيانات اعتماد SSL VPN مخترقة، مما يبرز أهمية تفعيل المصادقة متعددة العوامل (MFA) على جميع خدمات الوصول عن بُعد. كما يُنصح المؤسسات بمراقبة أي تثبيت غير مصرح به لأدوات المراقبة والدعم الفني.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##أمن_سيبراني ##برمجيات_الفدية ##Crazy_Ransomware ##حماية_البيانات

الأسئلة الشائعة

تستغل العصابة برامج شرعية مثل Net Monitor for Employees Professional وأداة SimpleHelp للوصول عن بُعد.

يقومون بتمويه ملفاتهم بأسماء تشبه ملفات النظام مثل OneDriveSvc.exe وتعطيل برنامج Windows Defender.

يهدفون لسرقة العملات الرقمية عبر مراقبة كلمات مفتاحية لمحافظ ومنصات مثل Binance وMetaMask، والتحضير لنشر برمجيات الفدية.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!