- بواسطة x32x01 ||
برنامج CRON#TRAP الخبيث الجديد يصيب Windows عن طريق الاختباء في Linux VM للتهرب من برامج مكافحة الفيروسات
قام باحثو الأمن السيبراني بوضع علامة على حملة برامج ضارة جديدة تصيب أنظمة Windows بمثيل Linux افتراضي يحتوي على باب خلفي قادر على إنشاء وصول عن بعد إلى المضيفين المخترقين.
تبدأ الحملة "المثيرة للاهتمام"، التي تحمل الاسم الرمزي CRON#TRAP، بملف اختصار Windows ضار (LNK) من المحتمل أن يتم توزيعه في شكل أرشيف ZIP عبر بريد إلكتروني تصيدي.
"ما يجعل حملة CRON#TRAP مثيرة للقلق بشكل خاص هو أن نسخة Linux التي تمت محاكاتها تأتي مهيأة مسبقًا بباب خلفي يتصل تلقائيًا بخادم القيادة والتحكم (C2) الذي يتحكم فيه المهاجم،" هذا ما قاله باحثو Securonix Den Iuzvyk وTim Peck. في التحليل...
"يسمح هذا الإعداد للمهاجم بالحفاظ على وجود خفي على جهاز الضحية، وتنظيم المزيد من الأنشطة الضارة داخل بيئة مخفية، مما يجعل الكشف صعبًا بالنسبة لحلول مكافحة الفيروسات التقليدية."
تزعم رسائل التصيد الاحتيالي أنها "استطلاع OneAmerica" الذي يأتي مع أرشيف ZIP كبير بحجم 285 ميجابايت، والذي يؤدي عند فتحه إلى تشغيل عملية الإصابة.
كجزء من حملة الهجوم التي لم تُنسب بعد، يعمل ملف LNK كقناة لاستخراج وبدء بيئة Linux خفيفة الوزن ومخصصة تمت محاكاتها من خلال Quick Emulator (QEMU)، وهي أداة افتراضية مشروعة ومفتوحة المصدر. يعمل الجهاز الظاهري على Tiny Core Linux...
يقوم الاختصار بعد ذلك بتشغيل أوامر PowerShell المسؤولة عن إعادة استخراج الملف المضغوط وتنفيذ البرنامج النصي المخفي "start.bat"، والذي بدوره يعرض رسالة خطأ وهمية للضحية لإعطائهم الانطباع بأن رابط الاستطلاع لم يعد موجودًا. عمل.
ولكن في الخلفية، يقوم بإعداد بيئة Linux الافتراضية لـ QEMU والمشار إليها باسم PivotBox، والتي تأتي محملة مسبقًا بأداة Chisel Tunneling، مما يمنح الوصول عن بعد إلى المضيف مباشرة بعد بدء تشغيل مثيل QEMU.
وقال الباحثون: "يبدو أن البرنامج الثنائي عبارة عن عميل Chisel تم تكوينه مسبقًا ومصمم للاتصال بخادم القيادة والتحكم عن بعد (C2) على الرقم 18.208.230[.]174 عبر مقابس الويب". "يعمل نهج المهاجمين على تحويل عميل Chisel هذا بشكل فعال إلى باب خلفي كامل، مما يسمح بتدفق حركة مرور الأوامر والتحكم عن بعد داخل وخارج بيئة Linux."
يعد هذا التطوير واحدًا من العديد من التكتيكات المتطورة باستمرار التي تستخدمها الجهات الفاعلة في مجال التهديد لاستهداف المؤسسات وإخفاء الأنشطة الضارة - ومن الأمثلة على ذلك حملة التصيد الاحتيالي التي تمت ملاحظتها والتي تستهدف شركات التصنيع الإلكترونية والهندسة والشركات الصناعية في البلدان الأوروبية تسليم البرامج الضارة GuLoader المراوغة.
وقالت تارا جولد، الباحثة في Cado Security: "تتضمن رسائل البريد الإلكتروني عادةً استفسارات عن الطلب وتحتوي على مرفق ملف أرشيف". "يتم إرسال رسائل البريد الإلكتروني من عناوين بريد إلكتروني مختلفة بما في ذلك الشركات المزيفة والحسابات المخترقة. عادةً ما تقوم رسائل البريد الإلكتروني باختطاف سلسلة رسائل بريد إلكتروني موجودة أو تطلب معلومات حول طلب ما."
يبدأ النشاط، الذي يستهدف بشكل أساسي دولًا مثل رومانيا وبولندا وألمانيا وكازاخستان، بملف دفعي موجود داخل ملف الأرشيف. يتضمن الملف الدفعي برنامج PowerShell النصي المبهم الذي يقوم فيما بعد بتنزيل برنامج PowerShell النصي الآخر من خادم بعيد.
يتضمن البرنامج النصي PowerShell الثانوي وظيفة لتخصيص الذاكرة وتنفيذ كود غلاف GuLoader في النهاية لجلب حمولة المرحلة التالية في النهاية.
وقال جولد: "تواصل البرمجيات الخبيثة Guloader تكييف تقنياتها لتجنب الكشف عنها لتوصيل RATs". "تستهدف الجهات التهديدية باستمرار صناعات محددة في بلدان معينة. وتسلط مرونتها الضوء على الحاجة إلى اتخاذ تدابير أمنية استباقية."
قام باحثو الأمن السيبراني بوضع علامة على حملة برامج ضارة جديدة تصيب أنظمة Windows بمثيل Linux افتراضي يحتوي على باب خلفي قادر على إنشاء وصول عن بعد إلى المضيفين المخترقين.
تبدأ الحملة "المثيرة للاهتمام"، التي تحمل الاسم الرمزي CRON#TRAP، بملف اختصار Windows ضار (LNK) من المحتمل أن يتم توزيعه في شكل أرشيف ZIP عبر بريد إلكتروني تصيدي.
"ما يجعل حملة CRON#TRAP مثيرة للقلق بشكل خاص هو أن نسخة Linux التي تمت محاكاتها تأتي مهيأة مسبقًا بباب خلفي يتصل تلقائيًا بخادم القيادة والتحكم (C2) الذي يتحكم فيه المهاجم،" هذا ما قاله باحثو Securonix Den Iuzvyk وTim Peck. في التحليل...
"يسمح هذا الإعداد للمهاجم بالحفاظ على وجود خفي على جهاز الضحية، وتنظيم المزيد من الأنشطة الضارة داخل بيئة مخفية، مما يجعل الكشف صعبًا بالنسبة لحلول مكافحة الفيروسات التقليدية."
تزعم رسائل التصيد الاحتيالي أنها "استطلاع OneAmerica" الذي يأتي مع أرشيف ZIP كبير بحجم 285 ميجابايت، والذي يؤدي عند فتحه إلى تشغيل عملية الإصابة.
كجزء من حملة الهجوم التي لم تُنسب بعد، يعمل ملف LNK كقناة لاستخراج وبدء بيئة Linux خفيفة الوزن ومخصصة تمت محاكاتها من خلال Quick Emulator (QEMU)، وهي أداة افتراضية مشروعة ومفتوحة المصدر. يعمل الجهاز الظاهري على Tiny Core Linux...
يقوم الاختصار بعد ذلك بتشغيل أوامر PowerShell المسؤولة عن إعادة استخراج الملف المضغوط وتنفيذ البرنامج النصي المخفي "start.bat"، والذي بدوره يعرض رسالة خطأ وهمية للضحية لإعطائهم الانطباع بأن رابط الاستطلاع لم يعد موجودًا. عمل.
ولكن في الخلفية، يقوم بإعداد بيئة Linux الافتراضية لـ QEMU والمشار إليها باسم PivotBox، والتي تأتي محملة مسبقًا بأداة Chisel Tunneling، مما يمنح الوصول عن بعد إلى المضيف مباشرة بعد بدء تشغيل مثيل QEMU.
وقال الباحثون: "يبدو أن البرنامج الثنائي عبارة عن عميل Chisel تم تكوينه مسبقًا ومصمم للاتصال بخادم القيادة والتحكم عن بعد (C2) على الرقم 18.208.230[.]174 عبر مقابس الويب". "يعمل نهج المهاجمين على تحويل عميل Chisel هذا بشكل فعال إلى باب خلفي كامل، مما يسمح بتدفق حركة مرور الأوامر والتحكم عن بعد داخل وخارج بيئة Linux."
يعد هذا التطوير واحدًا من العديد من التكتيكات المتطورة باستمرار التي تستخدمها الجهات الفاعلة في مجال التهديد لاستهداف المؤسسات وإخفاء الأنشطة الضارة - ومن الأمثلة على ذلك حملة التصيد الاحتيالي التي تمت ملاحظتها والتي تستهدف شركات التصنيع الإلكترونية والهندسة والشركات الصناعية في البلدان الأوروبية تسليم البرامج الضارة GuLoader المراوغة.
وقالت تارا جولد، الباحثة في Cado Security: "تتضمن رسائل البريد الإلكتروني عادةً استفسارات عن الطلب وتحتوي على مرفق ملف أرشيف". "يتم إرسال رسائل البريد الإلكتروني من عناوين بريد إلكتروني مختلفة بما في ذلك الشركات المزيفة والحسابات المخترقة. عادةً ما تقوم رسائل البريد الإلكتروني باختطاف سلسلة رسائل بريد إلكتروني موجودة أو تطلب معلومات حول طلب ما."
يبدأ النشاط، الذي يستهدف بشكل أساسي دولًا مثل رومانيا وبولندا وألمانيا وكازاخستان، بملف دفعي موجود داخل ملف الأرشيف. يتضمن الملف الدفعي برنامج PowerShell النصي المبهم الذي يقوم فيما بعد بتنزيل برنامج PowerShell النصي الآخر من خادم بعيد.
يتضمن البرنامج النصي PowerShell الثانوي وظيفة لتخصيص الذاكرة وتنفيذ كود غلاف GuLoader في النهاية لجلب حمولة المرحلة التالية في النهاية.
وقال جولد: "تواصل البرمجيات الخبيثة Guloader تكييف تقنياتها لتجنب الكشف عنها لتوصيل RATs". "تستهدف الجهات التهديدية باستمرار صناعات محددة في بلدان معينة. وتسلط مرونتها الضوء على الحاجة إلى اتخاذ تدابير أمنية استباقية."