-->
الصفحة الرئيسية

مجموعة التجسس السيبراني Earth Kitsune تنشر WhiskerSpy Backdoor في أحدث الهجمات

 



تمت ملاحظة ممثل تهديد التجسس الإلكتروني الذي تتبعه Earth Kitsune وهو ينشر بابًا خلفيًا جديدًا يسمى WhiskerSpy كجزء من حملة الهندسة الاجتماعية.

من المعروف أن Earth Kitsune نشط منذ عام 2019 على الأقل، ويستهدف بشكل أساسي الأفراد المهتمين بكوريا الشمالية باستخدام برامج ضارة محلية مثل dneSpy و agfSpy. تطلبت الاختراقات الموثقة سابقًا استخدام ثغرات مائية، واستغلال نقاط الضعف في المتصفح في Google Chrome و Internet Explorer لتنشيط سلسلة العدوى.

وفقًا لتقرير جديد صادر عن Trend Micro نُشر الأسبوع الماضي، كان أحد العناصر البارزة في الهجمات الأخيرة هو التحول إلى الهندسة الاجتماعية لخداع المستخدمين لزيارة مواقع الويب التي تم اختراقها والمتعلقة بكوريا الشمالية.

قالت شركة أمان الويب إن الموقع الإلكتروني لمجموعة غير مسماة مؤيدة لكوريا الشمالية تم اختراقه وتعديله لنشر غرسة WhiskerSpy. تم اكتشاف الحل الوسط أواخر العام الماضي.

وفقًا للباحثين جوزيف سي تشن وجارومير حرجي، عندما يحاول زائر مستهدف مشاهدة مقطع فيديو على موقع ويب، يعرض النص الخبيث الذي تم حقنه بواسطة المهاجمين رسالة تبلغ الضحية بخطأ في ترميز الفيديو، تحثهم على تنزيل وتثبيت حصان طروادة يقول الترميز.

وبحسب ما ورد تم حقن نص مفخخ في صفحات الفيديو الخاصة بالموقع، والتي استخدمت بعد ذلك أداة تثبيت (Codec-AVC1.msi) لتحميل WhiskerSpy.

لكن الهجوم يستخدم أيضًا بعض الحيل الرائعة لتجنب الكشف. يتضمن ذلك تقديم نصوص ضارة فقط للزوار الذين تفي عناوين IP الخاصة بهم بمعايير معينة -

  • الشبكة الفرعية لعناوين IP الموجودة في شنيانغ، الصين
  • عنوان IP محدد يقع في Nagoya، اليابان، و
  • شبكة فرعية لعنوان IP موجودة في البرازيل

قالت Trend Micro إن عناوين IP المستهدفة في البرازيل تنتمي إلى خدمة VPN تجارية ربما استخدمها ممثلو التهديد لاختبار انتشار هجمات ثقب المياه.

يتحقق الاستقرار من خلال إساءة استخدام ثغرات اختطاف مكتبة الارتباط الديناميكي (DLL) من OneDrive أو عن طريق ملحقات Google Chrome الضارة التي تستخدم واجهات برمجة تطبيقات المراسلة الأصلية لتنفيذ الحمولات في كل مرة يتم فيها تشغيل مستعرض الويب.




مثل البرامج الضارة الأخرى من هذا النوع، يتمتع WhiskerSpy backdoor بالقدرة على إسقاط الملفات وتعدادها وتنزيلها وتحميلها والتقاط لقطات الشاشة وحقن كود القشرة وتحميل الملفات التنفيذية التعسفية.

قال الباحثون إن ثعالب الأرض أتقنت قدراتها التقنية وتعمل باستمرار على تحسين أدواتها وتكتيكاتها وإجراءاتها.


تأثير Earth Yako على القطاعات الأكاديمية والبحثية في اليابان 

إن Earth Kitsune ليس الفاعل الوحيد المهدد الذي يلاحق أهدافًا يابانية، على الرغم من ذلك، حيث قامت شركة الأمن السيبراني أيضًا بتفصيل مجموعة قرصنة أخرى، تحمل الاسم الرمزي Earth Yako، لاستهداف المؤسسات البحثية ومراكز البحث في البلاد.

هذا النشاط، الذي تمت ملاحظته آخر مرة في يناير 2023، هو استمرار لحملة كانت معروفة سابقًا باسم عملية RestyLink. استهدف جزء من الهجمات أيضًا كيانات موجودة في تايوان.

قالت Trend Micro إن مجموعة المتسللين أدخلت أدوات وبرامج ضارة جديدة في فترة زمنية قصيرة، وكثيراً ما تغيرت أهداف هجومها وتوسيعها، ولاحظت أن طريقة عمل Eight Sons تغير أهدافها وأساليبها بشكل فعال.

نقطة البداية هي رسالة بريد إلكتروني تصيدية متنكرة في شكل دعوة إلى حدث عام. تحتوي هذه الرسائل على عنوان URL ضار يشير إلى الحمولة، والتي بدورها مسؤولة عن تنزيل البرامج الضارة على النظام.

تتميز الهجمات أيضًا بمجموعة مخصصة من الأدوات بما في ذلك droppers (PULink)، اللوادر (Dulload، MirrorKey)، stagers (ShellBox)، والأبواب الخلفية (PlugBox، TransBox).

كما توحي أسمائهم، تستخدم PlugBox و ShellBox و TransBox واجهة Dropbox API لاسترداد المرحلة التالية من البرامج الضارة، وتلقي الأوامر، وجمع البيانات واستخراجها من خادم بعيد مشفر بشكل ثابت في مستودع GitHub.

لا يزال الأصل الدقيق لـ Earth Yako غير معروف، لكن Trend Micro تقول إنها حددت بعض التداخل الفني بين المجموعة والممثلين الآخرين مثل Darkhotel و APT10 (المعروف أيضًا باسم Stone Panda) و APT29 (المعروف أيضًا باسم Cozy Bear أو Nobelium).

وقالت الشركة إن إحدى سمات الهجوم المستهدف الأخير هو أنه تحول إلى استهداف الأفراد الذين يُعتبرون من ذوي الأمان الضعيف نسبيًا مقارنة بالشركات والمؤسسات الأخرى.

يسلط هجوم وإساءة استخدام Dropbox الضوء على تحول نحو استهداف الأفراد عبر المؤسسات، حيث إنها خدمة شائعة بين المستخدمين في المنطقة للاستخدام الشخصي ولكن ليس للمؤسسات.


author-img

Almoktachif Computer Technologie

تعليقات
ليست هناك تعليقات
إرسال تعليق
    الاسمبريد إلكترونيرسالة