اكثر من ألف هجمة إلكترونية أطلقها قراصنة SideWinder على مدار العامين الماضيين

تم ربط مجموعة التهديد المستمر المتقدم (ATP) المعروفة بإسم SideWinder بأكثر من الف هجوم جديد منذ ابريل 2020.

وفي تقرير لشركة Kaspersky تم عرضه الاسبوع الماضي  قالت الشركة ان ما يميز هذه المجموعة عن نظرائها هو الكم الهائل والمتكرر والمستمر لهجماتها، بالاضافة الى المجموعة الكبيرة من المكونات الخبيثة المشفرة والمبهمة المستخدمة في عملياتهم.

ويقال ان مجموعة SideWinder العروفة ايضا بإسم Rattlesnake او T-ATP-04 كانت نشطة منذ عام 2012 على الاقل، مع سجل حافل من استهداف شركات تابعة للجيش ووزارتي الدفاع والطيران وشركات تكنولوجيا المعلومات في دول اسيا الوسطى مثل افغانستان ونيبال وبنغلاديش وباكستان.

وقد كشف تقرير الربع الاول لعام 2022 للتهديد المتقدم المستمر(ATP) الذي قدمته شركة Kaspersky والذي نشر اواخر الشهر الماضي ان القائمين على التهديد يعملون بنشاط على توسيع الدائرة الجغرافيا لأهدافهم ليتجاوز الاهداف التقليدية الى دول ومناطق اخرى بما في ذلك دولة سنغافورا.

كما لوحظ ايضا ان مجموعة SideWinder تستغل الحرب الروسية الاكرانية كطعم لتقوم بنشر برامج ضارة (Malware) وسرقة معلومات حساسة.

وجدير بالذكر ان سلاسل العدوى الجماعية العدائية تقوم بدمج المستندات المزيفة بالبرامج الضارة التي تستغل ثغرة في التعليمات البرمجية عن بعد في محرر المعادلات في Microsoft Office (CVE-2017-11882) لنشر الحمولات الضارة على الاجهزة المخترقة.

وعلاوة على ذلك، فإن SideWinder تستخدم العديد من اجراءت التعتيم المعقدة، والتشفير بمفاتيح فريدة لكل ملف ضار، والبرامج الضارة متعددة الطبقات، وتقوم بتقسيم سلاسل البنية التحتية للقيادة والتحكم (C2) الى مكونات برامج ضارة مختلفة.

ويبدأ تسلسل العدوى ذو الثلاث مراحل مع قيام المستندات المزيفة بإسقاط تطبيق HTML (HTA)، والتي يتبعها تحميل وحدة قائمة على .NET لتثبيت المرحلة الثانية من تطبيق الـ HTA المصمم لنشر برنامج التثبيت القائم على .NET .

وبرنامج التثبيت هذا مسؤول عن انشاء القدرة على المثابرة على جهاز الضحية وتحميل الباب الخلفي في الذاكرة. وهذا البرنامج المغروس في جهاز الضحية قادر على حصد الملفات ذات الاهمية ومعلومات عن النظام من بين امور اخرى.

تم استخدام ما لا يقل عن 400 نطاق (Domain) ونطاق فرعي من قبل القائمين على التهديد على مدار العامين الماضيين. ولإضافة طبقة تسلل اضافية، يتم تقسيم عناوين الـ URL المستخدمة لنطاقات C2 الى جزئين، الجزء الاول ملحق في مُثبت الـ .NET والجزء الثاني مشفر في وحدة الـ HTA في مرحلة الاختراق الثانية.

” يتمتع هذا التهديد بمستوى عالي نسبيا من التعقيد حيث يستخدم نواقل عدوى مختلفة وتقنيات هجوم متطورة” طبقا لما قاله نوشين شاباب من شركة Kaspersky وهو يحث المؤسسات على استخدام اصدارات محدثة من Microsoft Office للتقليل من مثل هذه الهجمات.

المصدر :

https://thehackernews.com/2022/05/sidewinder-hackers-launched-over-1000.html

Please follow and like us:

اترك تعليقاً