أصدرت مجموعة التهديد المتطورة التي تقف وراء حصان طروادة المعقد للوصول عن بعد لجافا سكريبت (RAT) والمعروفة باسم JSOutProx، إصدارًا جديدًا من البرامج الضارة لاستهداف المؤسسات في الشرق الأوسط.
قامت شركة خدمات الأمن السيبراني Resecurity بتحليل التفاصيل الفنية لحوادث متعددة تنطوي على البرمجيات الخبيثة JSOutProx التي تستهدف العملاء الماليين وتقدم إما إشعار دفع SWIFT مزيف إذا كانت تستهدف مؤسسة، أو قالب MoneyGram عند استهداف المواطنين العاديين، حسبما كتبت الشركة في تقرير نُشر هذا الأسبوع. استهدفت مجموعة التهديد المنظمات الحكومية في الهند وتايوان، بالإضافة إلى المؤسسات المالية في الفلبين ولاوس وسنغافورة وماليزيا والهند - والآن المملكة العربية السعودية.
أحدث إصدار من JSOutProx هو برنامج مرن للغاية ومنظم جيدًا من منظور التطوير، مما يسمح للمهاجمين بتخصيص وظائف لبيئة الضحية المحددة، كما يقول جين يو، الرئيس التنفيذي لشركة Resecurity.
ويقول: "إنها عبارة عن برمجية خبيثة مزروعة بمراحل متعددة، ولها مكونات إضافية متعددة". "اعتمادًا على بيئة الضحية، فإنه يدخل مباشرة ثم ينزفهم أو يسمم البيئة، اعتمادًا على المكونات الإضافية التي تم تمكينها."
هذه الهجمات هي أحدث حملة تقوم بها مجموعة من مجرمي الإنترنت تُعرف باسم Solar Spider، والتي يبدو أنها المجموعة الوحيدة التي تستخدم البرنامج الضار JSOutProx. بناءً على أهداف المجموعة - عادةً المنظمات في الهند، ولكن أيضًا في منطقة آسيا والمحيط الهادئ، وأفريقيا، و مناطق الشرق الأوسط - من المحتمل أن يكون مرتبطًا بالصين، وذكرت ريسكيوريتي في تحليلها.
يقول يو: "من خلال تحديد الأهداف، وبعض التفاصيل التي حصلنا عليها في البنية التحتية، نشك في أن الأمر يتعلق بالصين".
"مشوش للغاية... مكون إضافي معياري"
JSOutProx معروف جيدًا في الصناعة المالية. وذكرت شركة فيزا، على سبيل المثال، أن الحملات الموثقة باستخدام أداة الهجوم في عام 2023، بما في ذلك حملة موجهة إلى عدة بنوك في منطقة آسيا والمحيط الهادئ، ونشر تقريرها نصف السنوي عن التهديدات في ديسمبر/كانون الأول.
يعد حصان طروادة (RAT) للوصول عن بعد "بابًا خلفيًا غامضًا للغاية لجافا سكريبت، يتمتع بقدرات مكون إضافي معياري، ويمكنه تشغيل أوامر shell، وتنزيل الملفات وتحميلها وتنفيذها، ومعالجة نظام الملفات، وإنشاء الثبات، والتقاط لقطات الشاشة، والتلاعب بلوحة المفاتيح والماوس". الأحداث، حسبما ذكرت فيزا في تقريرها. "تسمح هذه الميزات الفريدة للبرامج الضارة بتجنب اكتشافها بواسطة أنظمة الأمان والحصول على مجموعة متنوعة من معلومات الدفع والمعلومات المالية الحساسة من المؤسسات المالية المستهدفة.
يظهر JSOutProx عادةً كملف PDF لمستند مالي في أرشيف مضغوط. لكن في الحقيقة، جافا سكريبت هي التي يتم تنفيذها عندما يفتح الضحية الملف. تقوم المرحلة الأولى من الهجوم بجمع معلومات عن النظام والتواصل مع خوادم القيادة والتحكم المبهمة عبر DNS الديناميكي. تقوم المرحلة الثانية من الهجوم بتنزيل أي من المكونات الإضافية الـ 14 لإجراء المزيد من الهجمات، بما في ذلك الوصول إلى Outlook وقائمة جهات الاتصال الخاصة بالمستخدم، وتمكين أو تعطيل الوكلاء على النظام.
يقوم RAT بتنزيل المكونات الإضافية من GitHub - أو من GitLab مؤخرًا - لتبدو شرعية.
وقالت Resecurity في تحليلها: "إن اكتشاف الإصدار الجديد من JSOutProx، إلى جانب استغلال منصات مثل GitHub وGitLab، يؤكد الجهود الحثيثة التي تبذلها هذه الجهات الخبيثة والاتساق المتطور".
تحقيق الدخل من البيانات المالية في الشرق الأوسط
بمجرد قيام Solar Spider باختراق المستخدم، يقوم المهاجمون بجمع المعلومات، مثل أرقام الحساب الأساسية وبيانات اعتماد المستخدم، ثم يقومون بمجموعة متنوعة من الإجراءات الضارة ضد الضحية، وفقًا لتقرير التهديدات الصادر عن Visa.
وذكر تقرير Visa أن "البرامج الضارة JSOutProx تشكل تهديدًا خطيرًا للمؤسسات المالية حول العالم، وخاصة تلك الموجودة في منطقة AP حيث تم استهداف هذه الكيانات بشكل متكرر بهذه البرامج الضارة".
وذكرت Visa أنه يتعين على الشركات تثقيف موظفيها حول كيفية التعامل مع المراسلات المشبوهة وغير المرغوب فيها للتخفيف من تهديد البرامج الضارة. بالإضافة إلى ذلك، يجب التحقيق في أي حالة من البرامج الضارة ومعالجتها بالكامل لمنع الإصابة مرة أخرى.
يقول يو من شركة Resecurity، إن الشركات الكبرى والوكالات الحكومية أكثر عرضة للهجوم من قبل المجموعة لأن شركة Solar Spider تضع أنظارها على الشركات الأكثر نجاحًا. ومع ذلك، في معظم الأحيان، لا يتعين على الشركات اتخاذ خطوات خاصة بالتهديدات المحددة، بل تركز بدلاً من ذلك على استراتيجيات الدفاع المتعمق، كما يقول.
يقول يو: "يجب على المستخدم التركيز على عدم النظر إلى الجسم اللامع في السماء، كما لو كان الصينيون يهاجمون، ولكن على ما يتعين عليهم القيام به هو إنشاء أساس أفضل". "الحصول على تصحيح جيد وتجزئة الشبكة وإدارة الثغرات الأمنية. إذا قمت بذلك، فلن يؤثر أي من هذا على الأرجح على مستخدميك.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/threat-intelligence/solar-spider-spins-up-new-malware-to-entrap-saudi-arabian-banks
