الجمعة, 24 نوفمبر 2017, 12:49 مساءً
البرمجية الخبيثة تقوم بجمع بيانات وحسابات الاعتماد من النظام المستهدف
مجموعة أويلريغ الإجرامية تنشر برمجية تروجان خبيثة (ألما كوميونيكيترز) متخصصة بالتسلل إلى نظام أسماء النطاقات
13/11/2017 [ 12:01 ]
تاريخ الإضافة:
مجموعة أويلريغ الإجرامية تنشر برمجية تروجان خبيثة (ألما كوميونيكيترز) متخصصة بالتسلل إلى نظام أسماء النطاقات

دبي،- " ريال ميديا ":

أطلقت شركة بالو ألتو نتوركس عبر ذراعها الأمنية (الوحدة 42)، تحذيرا من أنشطة مجموعة التهديد أويلريغ OilRig، التي تقف وراء عدد من الهجمات الالكترونية الخبيثة التي بدأت منذ شهر مايو 2016. ومن التقنيات التي تتبعها الشركة برصدها لأنشطة مجموعة التهديد هذه استخدامها لمستند التسليم كلايسليد Clayslide كملفات مرفقة مع رسائل البريد الإلكتروني، وذلك بهدف قرصنة رسائل البريد الإلكتروني أثناء الهجمات منذ شهر مايو 2016. وأوضحت بالو ألتو نتوركس أن الجهات المحركة لمجموعة أويلريغ تقدم لمحة حول الجهود المبذولة في سبيل التنمية والاختبار، وأظهرت قيام مجموعة التهديد أويلريغ ببذل جهودها من أجل تطوير وصقل مستندات التسليم كلايسيد.

كما لاحظت الشركة مؤخراً ظهور نسخة جديدة من مستند التسليم كلايسليد تستخدم من أجل تحميل إصدار جديد ومتخصص من البرمجية الخبيثة تروجان، يطلق عليه مبتكره اسم "ALMA Communicator". ويحتفظ مستند التسليم هذا أيضاً بأداة جمع حسابات وبيانات الاعتماد، التي تتم بعد نجاح عملية التسلل، والتي يطلق عليها اسم ميميكاتزMimikatz، التي يعتقد بأن الجهات المهددة ستستعين بها من أجل جمع بيانات وحسابات الاعتماد من النظام المستهدف. ولدينا السبب الكافي للاعتقاد بأن هذا الهجوم استهدف أحد موظفي شركة متخصصة في مجال خدمات المرافق العامة ضمن منطقة الشرق الأوسط.

مستند التسليم كلايسليد Clayslide الجديد 

تعمل أحدث نسخة مبتكرة بناء من مستند التسليم كلايسليد Clayslide بطريقة مشابهة لأسلافها، حيث أنها تستعرض في بادئ الأمر ورقة عمل "متناقضة" تنص على أن ملف إكسيل Excel تم إنشاؤه باستخدام إصدار أحدث من برنامج إكسيل، لذا يحتاج المستخدم إلى "تمكين المحتوى" لعرض المستند. فإذا ما قام المستخدم بالنقر فوق خيار "تمكين المحتوى"، سيقوم ماكرو خبيث بتشغيل تلك البرمجية من خلال عرض ورقة عمل مخفية تحتوي على محتويات خادعة.

الاستنتاج 

تواصل مجموعة التهديد أويلريغ استخدام مستند التسليم كلايسليد Clayslide في هجماتها، وتشير النسخة البديلة الحالية من مستند التسليم كلايسليد إلى أن هذه المجموعة تواصل تطوير مستندات التسليم هذه من خلال تقنيات تحميل جديدة، وذلك من أجل المراوغة والتهرب من الكشف. كما تواصل مجموعة التهديد هذه إضافة حمولات جديدة على مجموعة أدواتها أيضاً، وذلك باستعانتها بآخر إصدار من أداء ALMA Communicator. وأخيراً، يبدو أن مجموعة أويلريغ لا تزال تفضل التسلل إلى نظام أسماء النطاقات DNS كي تصل إلى قنوات سيرفرات الأوامر والتحكم C2 المفضلة من قبلها، حيث تستعين الأدوات ALMA Communicator، وHelminth، وISMAgent بهذه التقنية للوصول إلى قنوات سيرفرات الأوامر والتحكم C2.

ويتمتع عملاء شركة بالو ألتو نتوركس بالحماية والوقاية من هذا المستند 

تعليقات الفيسبوك
تعليقات الموقع
إستطلاع ريال ميديا
برأيكم التقاعد المبكر لموظفي السلطة منهم العسكريين والمدنيين؟
اعادة الاعتبار للوظيفية العسكرية والمدنية؟
التخلص من عسكريين ضمن منظومة الانهزام العسكري؟
فتح مجال للخريجين وتكدسهم للعمل؟
قرار مجحف لاينصف العاملين المدنيين والعسكريين؟
قرار مجحف لاينصف العاملين المدنيين والعسكريين؟
مناسب لاتاحة الفرصة لاستيعاب موظفي حماس وعملية الد
عقاب جماعي واستمرار لخطوات عقاب غزة؟
انتهت فترة التصويت