- بواسطة x32x01 ||
يستخدم مجرم الأنترنت برنامج Excel لنشر برامج Remcos RAT
اكتشف باحثو الأمن السيبراني حملة تصيد جديدة تنشر نسخة جديدة بدون ملفات من البرامج الضارة التجارية المعروفة تسمى Remcos RAT.
وقال شياو بينغ تشانغ، الباحث في Fortinet FortiGuard Labs، في تحليل نُشر الأسبوع الماضي، إن Remcos RAT "يوفر للمشتريات مجموعة واسعة من الميزات المتقدمة للتحكم عن بعد في أجهزة الكمبيوتر المملوكة للمشتري".
"ومع ذلك، فقد أساءت الجهات الفاعلة في مجال التهديد استخدام شركة Remcos لجمع معلومات حساسة من الضحايا والتحكم عن بعد في أجهزة الكمبيوتر الخاصة بهم لتنفيذ المزيد من الأعمال الضارة."
نقطة البداية للهجوم هي رسالة بريد إلكتروني تصيدية تستخدم إغراءات تحت عنوان أمر الشراء لإقناع المستلمين بفتح مرفق Microsoft Excel.
تم تصميم مستند Excel الخبيث لاستغلال ثغرة معروفة في تنفيذ التعليمات البرمجية عن بُعد في Office (CVE-2017-0199، درجة CVSS: 7.
لتنزيل ملف تطبيق HTML (HTA) ("cookienetbookinetcahce.hta") من خادم بعيد (" 192.3.220[.]22") وقم بتشغيله باستخدام mshta.exe...
يتم تغليف ملف HTA، من جانبه، في طبقات متعددة من JavaScript وVisual Basic Script وPowerShell لتجنب الكشف. وتتمثل مسؤوليتها الرئيسية في استرداد ملف قابل للتنفيذ من نفس الخادم وتنفيذه.
يشرع الثنائي بعد ذلك في تشغيل برنامج PowerShell غامض آخر، مع اعتماد أيضًا مجموعة من تقنيات مكافحة التحليل ومكافحة تصحيح الأخطاء لتعقيد جهود الكشف. في الخطوة التالية، تعمل التعليمات البرمجية الضارة على تعزيز تفريغ العملية لتنزيل Remcos RAT وتشغيله في النهاية.
وقال تشانغ: "بدلاً من حفظ ملف Remcos في ملف محلي وتشغيله، فإنه ينشر Remcos مباشرة في ذاكرة العملية الحالية". "وبعبارة أخرى، فهو نسخة خالية من الملفات من Remcos."
تم تجهيز Remcos RAT لجمع أنواع مختلفة من المعلومات من المضيف المخترق، بما في ذلك بيانات تعريف النظام، ويمكنه تنفيذ التعليمات الصادرة عن المهاجم عن بعد من خلال خادم القيادة والتحكم (C2).
تسمح هذه الأوامر للبرنامج بجمع الملفات، وتعداد العمليات وإنهائها، وإدارة خدمات النظام، وتحرير سجل Windows، وتنفيذ الأوامر والبرامج النصية، والتقاط محتوى الحافظة، وتغيير خلفية سطح مكتب الضحية، وتمكين الكاميرا والميكروفون، وتنزيل حمولات إضافية، وتسجيل الشاشة، وحتى تعطيل إدخال لوحة المفاتيح أو الماوس...
ويأتي هذا الكشف في الوقت الذي كشف فيه Wallarm أن الجهات الفاعلة في مجال التهديد تسيء استخدام Docusign APIs لإرسال فواتير مزيفة تبدو أصلية في محاولة لخداع المستخدمين المطمئنين وإجراء حملات تصيد على نطاق واسع.
يستلزم الهجوم إنشاء حساب Docusign شرعي ومدفوع يمكّن المهاجمين من تغيير القوالب واستخدام واجهة برمجة التطبيقات مباشرة. يتم بعد ذلك استخدام الحسابات لإنشاء قوالب فواتير مصممة خصيصًا لمحاكاة طلبات التوقيع الإلكتروني على المستندات من علامات تجارية معروفة مثل Norton Antivirus.
وقالت الشركة: "على عكس عمليات التصيد الاحتيالي التقليدية التي تعتمد على رسائل البريد الإلكتروني المخادعة والروابط الضارة، تستخدم هذه الحوادث حسابات وقوالب DocuSign الأصلية لانتحال هوية الشركات ذات السمعة الطيبة، مما يؤدي إلى التقاط المستخدمين وأدوات الأمان على حين غرة".
"إذا قام المستخدمون بالتوقيع الإلكتروني على هذا المستند، فيمكن للمهاجم استخدام المستند الموقع لطلب الدفع من المؤسسة خارج DocuSign أو إرسال المستند الموقع من خلال DocuSign إلى الإدارة المالية للدفع."
وقد لوحظ أيضًا أن حملات التصيد الاحتيالي تستفيد من تكتيك غير تقليدي يسمى تسلسل ملفات ZIP لتجاوز أدوات الأمان وتوزيع أحصنة طروادة للوصول عن بعد إلى الأهداف.
تتضمن الطريقة إلحاق أرشيفات ZIP متعددة في ملف واحد، مما يسبب مشكلات أمنية بسبب التناقض الذي تقوم فيه برامج مختلفة مثل 7-Zip وWinRAR وWindows File Explorer بفك ضغط هذه الملفات وتحليلها، مما يؤدي إلى سيناريو حيث الحمولات الضارة يتم التغاضي عنها.
"من خلال استغلال الطرق المختلفة التي يعالج بها قارئو ZIP ومديرو الأرشيف ملفات ZIP المتسلسلة، يمكن للمهاجمين تضمين برامج ضارة تستهدف مستخدمي أدوات معينة على وجه التحديد،" كما أشارت Perception Point في تقرير حديث.
"تعرف الجهات الفاعلة في مجال التهديد أن هذه الأدوات غالبًا ما تفوت أو تتجاهل المحتوى الضار المخفي داخل الأرشيفات المتسلسلة، مما يسمح لها بتسليم حمولتها دون أن يتم اكتشافها واستهداف المستخدمين الذين يستخدمون برنامجًا معينًا للعمل مع الأرشيفات."
ويأتي هذا التطوير أيضًا حيث تم ربط جهة تهديد تُعرف باسم Venture Wolf بهجمات التصيد الاحتيالي التي تستهدف قطاعات التصنيع والبناء وتكنولوجيا المعلومات والاتصالات في روسيا باستخدام MetaStealer، وهو شوكة من البرنامج الضار RedLine Stealer.
اكتشف باحثو الأمن السيبراني حملة تصيد جديدة تنشر نسخة جديدة بدون ملفات من البرامج الضارة التجارية المعروفة تسمى Remcos RAT.
وقال شياو بينغ تشانغ، الباحث في Fortinet FortiGuard Labs، في تحليل نُشر الأسبوع الماضي، إن Remcos RAT "يوفر للمشتريات مجموعة واسعة من الميزات المتقدمة للتحكم عن بعد في أجهزة الكمبيوتر المملوكة للمشتري".
"ومع ذلك، فقد أساءت الجهات الفاعلة في مجال التهديد استخدام شركة Remcos لجمع معلومات حساسة من الضحايا والتحكم عن بعد في أجهزة الكمبيوتر الخاصة بهم لتنفيذ المزيد من الأعمال الضارة."
نقطة البداية للهجوم هي رسالة بريد إلكتروني تصيدية تستخدم إغراءات تحت عنوان أمر الشراء لإقناع المستلمين بفتح مرفق Microsoft Excel.
تم تصميم مستند Excel الخبيث لاستغلال ثغرة معروفة في تنفيذ التعليمات البرمجية عن بُعد في Office (CVE-2017-0199، درجة CVSS: 7.
لتنزيل ملف تطبيق HTML (HTA) ("cookienetbookinetcahce.hta") من خادم بعيد (" 192.3.220[.]22") وقم بتشغيله باستخدام mshta.exe...
يتم تغليف ملف HTA، من جانبه، في طبقات متعددة من JavaScript وVisual Basic Script وPowerShell لتجنب الكشف. وتتمثل مسؤوليتها الرئيسية في استرداد ملف قابل للتنفيذ من نفس الخادم وتنفيذه.
يشرع الثنائي بعد ذلك في تشغيل برنامج PowerShell غامض آخر، مع اعتماد أيضًا مجموعة من تقنيات مكافحة التحليل ومكافحة تصحيح الأخطاء لتعقيد جهود الكشف. في الخطوة التالية، تعمل التعليمات البرمجية الضارة على تعزيز تفريغ العملية لتنزيل Remcos RAT وتشغيله في النهاية.
وقال تشانغ: "بدلاً من حفظ ملف Remcos في ملف محلي وتشغيله، فإنه ينشر Remcos مباشرة في ذاكرة العملية الحالية". "وبعبارة أخرى، فهو نسخة خالية من الملفات من Remcos."
تم تجهيز Remcos RAT لجمع أنواع مختلفة من المعلومات من المضيف المخترق، بما في ذلك بيانات تعريف النظام، ويمكنه تنفيذ التعليمات الصادرة عن المهاجم عن بعد من خلال خادم القيادة والتحكم (C2).
تسمح هذه الأوامر للبرنامج بجمع الملفات، وتعداد العمليات وإنهائها، وإدارة خدمات النظام، وتحرير سجل Windows، وتنفيذ الأوامر والبرامج النصية، والتقاط محتوى الحافظة، وتغيير خلفية سطح مكتب الضحية، وتمكين الكاميرا والميكروفون، وتنزيل حمولات إضافية، وتسجيل الشاشة، وحتى تعطيل إدخال لوحة المفاتيح أو الماوس...
ويأتي هذا الكشف في الوقت الذي كشف فيه Wallarm أن الجهات الفاعلة في مجال التهديد تسيء استخدام Docusign APIs لإرسال فواتير مزيفة تبدو أصلية في محاولة لخداع المستخدمين المطمئنين وإجراء حملات تصيد على نطاق واسع.
يستلزم الهجوم إنشاء حساب Docusign شرعي ومدفوع يمكّن المهاجمين من تغيير القوالب واستخدام واجهة برمجة التطبيقات مباشرة. يتم بعد ذلك استخدام الحسابات لإنشاء قوالب فواتير مصممة خصيصًا لمحاكاة طلبات التوقيع الإلكتروني على المستندات من علامات تجارية معروفة مثل Norton Antivirus.
وقالت الشركة: "على عكس عمليات التصيد الاحتيالي التقليدية التي تعتمد على رسائل البريد الإلكتروني المخادعة والروابط الضارة، تستخدم هذه الحوادث حسابات وقوالب DocuSign الأصلية لانتحال هوية الشركات ذات السمعة الطيبة، مما يؤدي إلى التقاط المستخدمين وأدوات الأمان على حين غرة".
"إذا قام المستخدمون بالتوقيع الإلكتروني على هذا المستند، فيمكن للمهاجم استخدام المستند الموقع لطلب الدفع من المؤسسة خارج DocuSign أو إرسال المستند الموقع من خلال DocuSign إلى الإدارة المالية للدفع."
وقد لوحظ أيضًا أن حملات التصيد الاحتيالي تستفيد من تكتيك غير تقليدي يسمى تسلسل ملفات ZIP لتجاوز أدوات الأمان وتوزيع أحصنة طروادة للوصول عن بعد إلى الأهداف.
تتضمن الطريقة إلحاق أرشيفات ZIP متعددة في ملف واحد، مما يسبب مشكلات أمنية بسبب التناقض الذي تقوم فيه برامج مختلفة مثل 7-Zip وWinRAR وWindows File Explorer بفك ضغط هذه الملفات وتحليلها، مما يؤدي إلى سيناريو حيث الحمولات الضارة يتم التغاضي عنها.
"من خلال استغلال الطرق المختلفة التي يعالج بها قارئو ZIP ومديرو الأرشيف ملفات ZIP المتسلسلة، يمكن للمهاجمين تضمين برامج ضارة تستهدف مستخدمي أدوات معينة على وجه التحديد،" كما أشارت Perception Point في تقرير حديث.
"تعرف الجهات الفاعلة في مجال التهديد أن هذه الأدوات غالبًا ما تفوت أو تتجاهل المحتوى الضار المخفي داخل الأرشيفات المتسلسلة، مما يسمح لها بتسليم حمولتها دون أن يتم اكتشافها واستهداف المستخدمين الذين يستخدمون برنامجًا معينًا للعمل مع الأرشيفات."
ويأتي هذا التطوير أيضًا حيث تم ربط جهة تهديد تُعرف باسم Venture Wolf بهجمات التصيد الاحتيالي التي تستهدف قطاعات التصنيع والبناء وتكنولوجيا المعلومات والاتصالات في روسيا باستخدام MetaStealer، وهو شوكة من البرنامج الضار RedLine Stealer.