الأمن السيبراني
#MustangPanda
#أمن_سيبراني
تحذير: قراصنة Mustang Panda يطورون CoolClient لسرقة البيانات
طورت مجموعة التجسس الصينية المعروفة باسم Mustang Panda برمجية CoolClient الخلفية (Backdoor) لإضافة قدرات جديدة تشمل سرقة بيانات الدخول من المتصفحات ومراقبة الحافظة (Clipboard)، وفقاً لتقرير جديد صادر عن باحثي كاسبرسكي.
يأتي هذا التحديث ليعزز قدرات المجموعة في التجسس الإلكتروني، حيث تم رصد استخدام البرمجية الخبيثة لنشر Rootkit لم يُرَ من قبل، ومن المتوقع نشر تحليل تقني مفصل عنه قريباً.
قدرات تجسس جديدة وخطيرة
ترتبط برمجية CoolClient بمجموعة Mustang Panda منذ عام 2022، حيث تُستخدم كباب خلفي ثانوي إلى جانب أدوات أخرى مثل PlugX وLuminousMoth. وتقوم النسخة المحدثة بجمع تفاصيل دقيقة حول النظام المخترق، بما في ذلك اسم الكمبيوتر، إصدار نظام التشغيل، ذاكرة الوصول العشوائي (RAM)، ومعلومات الشبكة.
تستخدم البرمجية ملفات .DAT مشفرة في عملية تنفيذ متعددة المراحل لتحقيق الثبات عبر تعديلات السجل (Registry)، وإضافة خدمات ويندوز جديدة، ومهام مجدولة. كما تدعم تجاوز التحكم في حساب المستخدم (UAC) وتصعيد الامتيازات.
كما تظهر الصورة المرفقة التي توضح تدفق التنفيذ في CoolClient، تعتمد البرمجية على تقنيات معقدة لضمان بقائها في النظام وتنفيذ أوامرها الخبيثة بسرية تامة.
استغلال البرامج الشرعية للتخفي
رصد الباحثون الهجمات الجديدة تستهدف جهات حكومية في ميانمار، منغوليا، ماليزيا، روسيا، وباكستان. اللافت في الأمر هو طريقة النشر، حيث تم استخدام برمجيات شرعية من شركة Sangfor الصينية المتخصصة في الأمن السيبراني والحوسبة السحابية كغطاء للعملية.
في السابق، كان مشغلو CoolClient يطلقون البرمجية عبر تقنية DLL side-loading من خلال استغلال ملفات ثنائية موقعة من شركات معروفة مثل Bitdefender وVLC Media Player وUlead PhotoImpact.
سرقة بيانات المتصفح والحافظة
ما يميز النسخة الأحدث من CoolClient هو وحدة مراقبة الحافظة، والقدرة على تتبع عناوين النوافذ النشطة، واستنشاق بيانات اعتماد وكيل HTTP. كما تم توسيع نظام الإضافات (Plugins) ليشمل:
- إدارة الخدمات: تتيح للمهاجمين التحكم الكامل في خدمات ويندوز (إنشاء، تشغيل، إيقاف، وحذف).
- إدارة الملفات: توفر عمليات موسعة مثل البحث عن الملفات وضغطها وتنفيذها.
- الصدفة البعيدة (Remote Shell): تتيح تنفيذ الأوامر بشكل تفاعلي عبر قناة التحكم والسيطرة (C2).
وثقت كاسبرسكي ثلاث عائلات متميزة من أدوات سرقة المعلومات المدمجة، تستهدف متصفحات Chrome وEdge، بالإضافة إلى متغير ثالث يستهدف أي متصفح مبني على Chromium.
التهريب عبر Google Drive
في تحول عملياتي ملحوظ، باتت عمليات سرقة بيانات المتصفح وتهريب المستندات تعتمد على رموز API مبرمجة مسبقاً لخدمات عامة شرعية مثل Google Drive أو Pixeldrain، وذلك بهدف تجنب الكشف عن الأنشطة المشبوهة.
يُذكر أن جهاز الأمن القومي في تايوان صنف Mustang Panda في وقت سابق من هذا الشهر ضمن أكثر التهديدات نشاطاً وكثافة التي تستهدف البنية التحتية الحيوية.
الأسئلة الشائعة
هي برمجية باب خلفي (Backdoor) تستخدمها مجموعة Mustang Panda للتجسس وسرقة البيانات والتحكم في الأنظمة المخترقة.
يتم نشرها من خلال استغلال برمجيات شرعية من شركة Sangfor، بينما استخدمت سابقاً برامج مثل VLC وBitdefender.
تشمل القدرات الجديدة سرقة بيانات الدخول من المتصفحات، مراقبة الحافظة، تتبع النوافذ النشطة، واستخدام خدمات سحابية مثل Google Drive لتهريب البيانات.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!