-->
الصفحة الرئيسية

قراصنة القبيلة الشفافة المتمركزون في باكستان يستهدفون المؤسسات التعليمية الهندية

 


تم ربط ممثل تهديد القبيلة الشفافة بمجموعة من مستندات Microsoft Office المُسلَّحة في عمليات اقتحام موجهة ضد قطاع التعليم الهندي لنشر برنامج ضار يتم الاحتفاظ به باستمرار يسمى Crimson RAT.

بينما من المعروف أن مجموعة التهديد المشتبه بها المتمركزة في باكستان تستهدف الكيانات العسكرية والحكومية في البلاد ، فقد توسعت الأنشطة منذ ذلك الحين لتشمل قطاع التعليم .

مجموعة القرصنة ، المسماة أيضًا APT36 و Operation C-Major و PROJECTM و Mythic Leopard ، كانت نشطة منذ عام 2013. كانت المؤسسات التعليمية في الطرف المتلقي لهجمات الخصم منذ أواخر عام 2021.

قال ألكسندر ميلينكوسكي الباحث في SentinelOne في تقرير مشترك مع The Hacker News: "Crimson RAT عنصر أساسي ثابت في ترسانة المجموعة من البرامج الضارة التي يستخدمها الخصم في حملاته" .

البرنامج الضار لديه وظيفة لاستخراج الملفات وبيانات النظام إلى خادم يتحكم فيه الممثل. تم تصميمه أيضًا بالقدرة على التقاط لقطات الشاشة وإنهاء العمليات الجارية وتنزيل وتنفيذ حمولات إضافية لتسجيل ضغطات المفاتيح وسرقة بيانات اعتماد المتصفح.

في الشهر الماضي ، عزت ESET شركة Transparent Tribe إلى حملة تجسس إلكترونية تهدف إلى إصابة مستخدمي Android الهنود والباكستانيين بباب خلفي يسمى CapraRAT.

كشف تحليل عينات RAT من Crimson عن وجود كلمة "Wibemax" ، مما يؤكد تقريرًا سابقًا من Fortinet. بينما يتطابق الاسم مع اسم شركة تطوير برمجيات باكستانية ، إلا أنه ليس من الواضح على الفور ما إذا كانت تشترك في أي اتصال مباشر مع ممثل التهديد.

ومع ذلك ، تجدر الإشارة إلى أن شركة Transparent Tribe لديها في الماضي بنية تحتية مدعومة يديرها مزود استضافة ويب يسمى Zain Hosting في هجمات تستهدف قطاع التعليم الهندي.

تتميز المستندات التي تم تحليلها بواسطة SentinelOne بمحتوى ذي طابع تعليمي وأسماء مثل المهمة أو الواجب رقم 10 ، وتستفيد من رمز الماكرو الضار لإطلاق Crimson RAT. هناك طريقة أخرى تتعلق باستخدام تضمين OLE لتنظيم البرامج الضارة.

أوضح ميلينكوسكي أن "المستندات الخبيثة التي تطبق هذه التقنية تتطلب من المستخدمين النقر نقرًا مزدوجًا فوق عنصر مستند". "تعرض هذه المستندات التي وزعتها شركة Transparent Tribe صورة (رسم" عرض المستند ") تشير إلى أن محتوى المستند مقفل."

هذا ، بدوره ، يخدع المستخدمين للنقر المزدوج على الرسم لعرض المحتوى ، وبالتالي تنشيط حزمة OLE التي تخزن وتنفذ Crimson RAT الذي يتنكر كعملية تحديث.

كما لوحظ أن متغيرات Crimson RAT تؤخر تنفيذها لفترة زمنية محددة تمتد في أي مكان بين دقيقة وأربع دقائق ، ناهيك عن تنفيذ تقنيات التشويش المختلفة باستخدام أدوات مثل Crypto Obfuscator و Eazfuscator.

قال ميلينكوسكي: "تعتبر القبيلة الشفافة جهة فاعلة في التهديد ومتحمس للغاية ومتواصلة وتقوم بانتظام بتحديث ترسانتها من البرمجيات الخبيثة ودليل العمليات والهدف". "تتطلب استراتيجيات التشغيل والاستهداف للقبيلة الشفافة المتغيرة باستمرار اليقظة المستمرة للتخفيف من التهديد الذي تشكله المجموعة."

author-img

Almoktachif Computer Technologie

تعليقات
ليست هناك تعليقات
إرسال تعليق
    الاسمبريد إلكترونيرسالة