الصفحة الرئيسية

ترسانة ScarCruft المتطورة : باحثون يكشفون عن تقنيات جديدة لتوزيع البرامج الضارة

 


يستخدم ممثل التهديد المستمر الكوري الشمالي (APT) الملقب بـ ScarCruft ملفات Microsoft Compiled HTML Help (CHM) المُسلَّحة لتنزيل برامج ضارة إضافية.

وفقًا لتقارير متعددة من مركز الاستجابة للطوارئ الأمنية AhnLab ( ASEC ) و SEKOIA.IO و Zscaler ، فإن النتائج توضح جهود المجموعة المستمرة لتحسين تكتيكاتها وإعادة تجهيزها لتجنب الاكتشاف.

قال باحثو Zscaler سوديب سينغ ونافين سيلفان في تحليل جديد نُشر يوم الثلاثاء: "تعمل المجموعة باستمرار على تطوير أدواتها وتقنياتها وإجراءاتها أثناء تجربة تنسيقات وأساليب ملفات جديدة لتجاوز بائعي الأمن".

ScarCruft ، الذي تم تتبعه أيضًا تحت أسماء APT37 و Reaper و RedEyes و Ricochet Chollima ، أظهر وتيرة تشغيلية متزايدة منذ بداية العام ، مستهدفًا كيانات كورية جنوبية مختلفة لأغراض التجسس. من المعروف أنه نشط منذ عام 2012 على الأقل.

في الشهر الماضي ، كشفت ASEC عن حملة استخدمت ملفات HWP التي تستفيد من ثغرة أمنية في برنامج معالجة الكلمات Hangul لنشر باب خلفي يُشار إليه باسم M2RAT .

لكن النتائج الجديدة تكشف أن الجهة المهددة تستخدم أيضًا تنسيقات ملفات أخرى مثل CHM و HTA و LNK و XLL ومستندات Microsoft Office القائمة على الماكرو في هجمات التصيد بالرمح ضد أهداف كورية جنوبية.


غالبًا ما تعمل سلاسل العدوى هذه على عرض ملف شرك ونشر نسخة محدثة من غرس قائم على PowerShell يُعرف باسم 
Chinotto ، وهو قادر على تنفيذ الأوامر التي يرسلها الخادم واستخراج البيانات الحساسة.

تتضمن بعض الإمكانات الجديدة لـ Chinotto التقاط لقطات شاشة كل خمس ثوانٍ وتسجيل ضغطات المفاتيح. يتم حفظ المعلومات الملتقطة في أرشيف مضغوط وإرسالها إلى خادم بعيد.

تأتي الرؤى حول نواقل الهجوم المختلفة لـ ScarCruft من مستودع GitHub الذي تحتفظ به مجموعة الخصوم لاستضافة حمولات ضارة منذ أكتوبر 2020.

قال باحثو Zscaler: "كان ممثل التهديد قادرًا على الاحتفاظ بمستودع GitHub ، حيث يقوم بشكل متكرر بحمولات ضارة لأكثر من عامين دون أن يتم اكتشافه أو إزالته".

خارج توزيع البرامج الضارة ، لوحظ أيضًا أن ScarCruft يقدم صفحات ويب تصيد بيانات الاعتماد التي تستهدف العديد من خدمات البريد الإلكتروني والسحابة مثل Naver و iCloud و Kakao و Mail.ru و 163.com.


ومع ذلك ، ليس من الواضح كيف يتم الوصول إلى هذه الصفحات من قبل الضحايا ، مما يزيد من احتمال تضمينها داخل إطارات iframe على مواقع الويب التي يتحكم فيها المهاجم أو إرسالها كمرفقات HTML عبر البريد الإلكتروني.

اكتشف SEKOIA.IO أيضًا قطعة من البرامج الضارة تسمى AblyGo ، وهو باب خلفي مكتوب في Go يستخدم إطار عمل المراسلة في الوقت الفعلي Ably لتلقي الأوامر.

يبدو أن استخدام ملفات آلية تبادل المعلومات لتهريب البرامج الضارة يتزايد مع المجموعات الأخرى التابعة لكوريا الشمالية أيضًا ، حيث كشفت ASEC عن حملة تصيد نظمتها Kimsuky لتوزيع باب خلفي مسؤول عن حصاد بيانات الحافظة وتسجيل ضغطات المفاتيح.

author-img

Almoktachif Computer Technologie

تعليقات
ليست هناك تعليقات
إرسال تعليق
    الاسمبريد إلكترونيرسالة