هناك برنامج ضار جديد يتجول على الإنترنت قادر على استخدام سجل Windows لتجنب الكشف. هذه البرامج الضارة تعتمد على JavaScript ، وهي أيضًا حصان طروادة للوصول عن بُعد (RAT). قرر باحثون من فريق مكافحة التجسس العدائي (PACT) التابع لـ Prevailion استدعاء هذا البرنامج الضار DarkWatchman.
أتضح أن البرنامج الضار يستفيد من خوارزمية إنشاء المجال (DGA) من أجل تحديد البنية التحتية للقيادة والتحكم الخاصة به ويستخدم سجل Windows لتخزين عملياته. عند الانتهاء من ذلك ، تكون برامج DarkWatchman الضارة قادرة على التهرب من معظم محركات مكافحة البرامج الضارة.
تستخدم برامج DarkWatchman الضارة سجل Windows لتجنب الاكتشاف ، لذلك يزعم الباحثون أنه يستخدم بعض الأساليب الشيقة لأداء المثابرة الخالية من الملفات على نشاط النظام جنبًا إلى جنب مع قدرات وقت التشغيل الديناميكية.
يدعي الباحثان مات ستافورد وشيرمان سميث أن البرمجيات الخبيثة "تمثل تطورًا في تقنيات البرمجيات الخبيثة Fileless ، حيث إنها تستخدم السجل تقريبًا لجميع عمليات التخزين المؤقتة والدائمة ، وبالتالي لا تكتب أي شيء على القرص أبدًا ، مما يسمح لها بالعمل تحت أو حول عتبة الاكتشاف لمعظم أدوات الأمان ".
من هم الضحايا المستهدفون؟
ذكر الأشخاص في Prevailion أن برنامج DarkWatchman RAT الخبيث استهدف منظمة كبيرة في روسيا. تم التعرف على العديد من عناصر البرمجيات الخبيثة ، وبدأ كل هذا في 12 نوفمبر 2021. الآن ، نظرًا لأنه يحتوي على ميزات مستمرة وخلفية ، خلص الفريق في PACT إلى أن DarkWatchman يمكن أن يكون أداة استطلاع مصممة ومستخدمة من قبل مجموعات برامج الفدية التي تتطلع إلى جني ملايين الدولارات.
يقول الباحثون:
"تخزين الملف الثنائي في التسجيل كنص مشفر يعني أن DarkWatchman مستمر ومع ذلك لا يتم كتابة ملفه التنفيذي (بشكل دائم) على القرص ؛ وهذا يعني أيضًا أن مشغلي DarkWatchman يمكنهم تحديث (أو استبدال) البرامج الضارة في كل مرة يتم تنفيذها ".
نظرًا لجوانب معينة من وظائفها ، يعتقد الباحثون أن DarkWatchman يتم استخدامه من قبل الجهات الفاعلة في برامج الفدية والشركات التابعة لها "كحمل أولي للمرحلة الأولى لنشر برامج الفدية". وأوضحوا أن هذه الجوانب تشمل محاولتها حذف النسخ الاحتياطية عند التثبيت ، والبحث عن أهداف المؤسسة ، على سبيل المثال ، قارئات البطاقات الذكية ، وقدرتها على تحميل حمولات إضافية عن بُعد.
علاوة على ذلك ، فإن إدخال RAT لهيكل C2 الذي يحدده DGA يوفر المرونة والعشوائية لاتصالاتها التي تشير إلى أن مشغلي برامج الفدية يستخدمونها لدعم الأنشطة التابعة. وقالوا إن هذا النوع من النشاط سيلغي الحاجة إلى قيام الشركات التابعة بنشر برنامج الفدية أو التعامل مع تسلل الملفات ، ونقل مشغل برامج الفدية من دور المفاوض إلى دور المسؤول عن التحكم الفعال في العدوى.
بشكل عام ، من الواضح أن مجموعة ميزات DarkWatchman تُظهر عمل ممثل تهديد متطور وتمثل خطوة رئيسية إلى الأمام في كيفية حصول المهاجمين على دخول أولي ثم تحقيق تواجد دائم متخفي على أنظمة Windows لاختراق البيانات وأداء أنشطة شائنة أخرى.
وقالوا "DarkWatchman مهم لأنه يمثل تطورًا في تقنيات البرمجيات الخبيثة بدون ملفات - من بين ميزات جديدة أخرى - مما يجعله مقلقًا بشكل خاص".
في الوقت الحالي ، لم يتم ربط هذا البرنامج الضار RAT بأي مجموعة قرصنة معروفة. ومع ذلك ، يعتقد فريق البحث أن الطاقم الذي يقف وراءها يمثل تهديدًا قادرًا.
تابع موقعنا tech1new.com انضم إلى صفحتنا على فيسبوك و متابعتنا على Twitter للحصول على تحديثات إخبارية فورية ومراجعات وشروحات تقنية.
ليست هناك تعليقات:
إرسال تعليق