شبكة القرصان

امن,اختراق,برامج,حماية,هكر,اختراق مواقع و سرفرات,اختراق ايميلات و اجهزة,حماية الانظمة,تطوير مواقع,حماية مواقع,دروس و شروحات,تقنية المعلومات,تحميل,Download,laptop,hacker,leran,programs,iptables,,Security,free soft,server,attack,hacker web

اخبار غير مصنف

قراصنة LuoYu الصينيون يستخدمون هجمات الرجل على الجانب لنشر WinDealer Backdoor

تمت ملاحظة ممثل التهديد المستمر المتقدم الناطق بالصينية (APT) “المتطور للغاية” والمسمى LuoYu باستخدام أداة Windows ضارة تسمى WinDealer يتم تسليمها عن طريق هجمات الرجل على الجانب.

وقالت شركة الأمن السيبراني الروسية كاسبيرسكي في تقرير جديد : “هذا التطور الرائد يسمح للممثل بتعديل حركة مرور الشبكة أثناء النقل لإدخال حمولات ضارة” . “مثل هذه الهجمات خطيرة ومدمرة بشكل خاص لأنها لا تتطلب أي تفاعل مع الهدف لتؤدي إلى إصابة ناجحة”.

من المعروف أن المنظمات المستهدفة من قبل LuoYu نشطة منذ عام 2008 ، وهي في الغالب منظمات دبلوماسية أجنبية تأسست في الصين وأعضاء في المجتمع الأكاديمي بالإضافة إلى شركات مالية ودفاعية ولوجستية وشركات اتصالات.

تم توثيق استخدام LuoYu لـ WinDealer لأول مرة من قبل شركة الأمن السيبراني التايوانية TeamT5 في مؤتمر محللي الأمن الياباني (JSAC) في يناير 2021. استخدمت حملات الهجوم اللاحقة البرامج الضارة لاستهداف الكيانات اليابانية ، مع الإبلاغ عن إصابات معزولة في النمسا وألمانيا والهند وروسيا ، والولايات المتحدة

الأدوات الأخرى التي تظهر بشكل بارز في ترسانة البرامج الضارة للخصم الأقل شهرة تشمل PlugX وخليفته ShadowPad ، وكلاهما تم استخدامه من قبل مجموعة متنوعة من الجهات الفاعلة في مجال التهديد الصيني لتمكين أهدافهم الاستراتيجية. بالإضافة إلى ذلك ، من المعروف أن الممثل يستهدف أجهزة Linux و macOS و Android.

WinDealer ، من جانبه ، تم تسليمه في الماضي عبر مواقع الويب التي تعمل كثقوب مائية وفي شكل تطبيقات طروادة تتنكر في شكل خدمات الرسائل الفورية واستضافة الفيديو مثل Tencent QQ و Youku.

ولكن منذ ذلك الحين تم تداول ناقل العدوى من أجل طريقة توزيع أخرى تستخدم آلية التحديث التلقائي لتطبيقات مشروعة محددة لتقديم نسخة مخترقة من الملف التنفيذي في “مناسبات نادرة”.

WinDealer ، منصة برمجيات خبيثة معيارية في جوهرها ، تأتي مع جميع الأجراس والصفارات المعتادة المرتبطة بالباب الخلفي التقليدي ، مما يسمح لها بتحريك المعلومات الحساسة والتقاط لقطات الشاشة وتنفيذ الأوامر التعسفية.

ولكن ما يميزه أيضًا هو استخدامه لخوارزمية إنشاء IP المعقدة لتحديد خادم القيادة والتحكم (C2) للاتصال به عشوائيًا من مجموعة تضم 48000 عنوان IP.

وقالت الشركة: “الطريقة الوحيدة لشرح سلوكيات الشبكة التي تبدو مستحيلة هي افتراض وجود مهاجم من جانب واحد قادر على اعتراض كل حركة مرور الشبكة وحتى تعديلها إذا لزم الأمر”.

يُمكِّن هجوم man-on-the-side ، على غرار هجوم man-in-the-middle ، المتطفل المارق من قراءة الرسائل التعسفية وحقنها في قناة اتصالات ، ولكن لا يقوم بتعديل أو حذف الرسائل المرسلة من قبل أطراف أخرى.

تعتمد عمليات التطفل على الجانب عادةً على التوقيت الاستراتيجي لرسائلهم بطريقة يتم فيها إرسال الرد الضار الذي يحتوي على البيانات التي يوفرها المهاجم استجابة لطلب الضحية لمورد ويب قبل الاستجابة الفعلية من الخادم.

وأشار كاسبرسكي إلى أن حقيقة أن الفاعل قادر على التحكم في مثل هذا النطاق الهائل من عناوين IP يمكن أن يفسر أيضًا اختطاف آلية التحديث المرتبطة بالتطبيقات الأصلية لتقديم حمولة WinDealer.

وقال الباحث الأمني ​​سوجورو إيشيمارو: “هجمات الرجل على الجانب مدمرة للغاية لأن الشرط الوحيد المطلوب لمهاجمة الجهاز هو أن يكون متصلاً بالإنترنت”.

“بغض النظر عن كيفية تنفيذ الهجوم ، فإن الطريقة الوحيدة للضحايا المحتملين للدفاع عن أنفسهم هي أن يظلوا يقظين للغاية ولديهم إجراءات أمنية قوية ، مثل عمليات الفحص المنتظمة لمكافحة الفيروسات ، وتحليل حركة مرور الشبكة الصادرة ، والتسجيل الشامل لاكتشاف الحالات الشاذة. “

اترك ردا

لن يتم نشر عنوان بريدك الإلكتروني.