برنامج ضار جديد ومخيف Gh0st RAT يطارد الأهداف السيبرانية العالمية

برنامج ضار جديد ومخيف Gh0st RAT يطارد الأهداف السيبرانية العالمية

الطابع الزمني: 30 نوفمبر 2023 الساعة 3:50 مساءً

تم التعرف على نوع جديد من البرمجيات الخبيثة سيئة السمعة "Gh0st RAT" في الهجمات الأخيرة التي استهدفت الكوريين الجنوبيين ووزارة الخارجية في أوزبكستان.

المجموعة الصينية “C.Rufus Security Team” تم إصدار Gh0st RAT لأول مرة على الويب المفتوح في مارس 2008. ومن اللافت للنظر أنه لا يزال قيد الاستخدام حتى اليوم، خاصة في الصين وما حولها، وإن كان في أشكال معدلة.

منذ أواخر أغسطس، على سبيل المثال، قامت مجموعة ذات روابط صينية قوية بتوزيع نسخة معدلة من Gh0st RAT تسمى "SugarGh0st RAT". وفقا لبحث من شركة سيسكو تالوس، يقوم ممثل التهديد هذا بإسقاط المتغير عبر اختصارات Windows التي تحتوي على JavaScript، بينما يقوم بتشتيت الأهداف بمستندات خادعة مخصصة.

لا تزال البرامج الضارة نفسها إلى حد كبير هي نفس الأداة الفعالة التي كانت عليها من قبل، على الرغم من أنها تحتوي الآن على بعض الملصقات الجديدة للمساعدة في التسلل إلى برامج مكافحة الفيروسات السابقة.

مصائد SugarGh0st RAT

العينات الأربعة من SugarGh0st، والتي من المحتمل أن يتم تسليمها عبر التصيد الاحتيالي، تصل إلى الأجهزة المستهدفة كأرشيفات مضمنة مع ملفات اختصار Windows LNK. تخفي LNKs جافا سكريبت الخبيث الذي، عند فتحه، يسقط مستندًا خادعًا - مستهدفًا جمهور الحكومة الكورية أو الأوزبكية - والحمولة.

مثل سلفه - حصان طروادة الصيني الأصل الذي يمكن الوصول إليه عن بعد، والذي تم إصداره لأول مرة للجمهور في مارس 2008 - فإن SugarGh0st عبارة عن آلة تجسس نظيفة ومتعددة الأدوات. مكتبة الارتباط الديناميكي (DLL) 32 بت مكتوبة بلغة C++، وتبدأ بجمع بيانات النظام، ثم تفتح الباب أمام إمكانيات الوصول عن بعد الكاملة.

يمكن للمهاجمين استخدام SugarGh0st لاسترداد أي معلومات قد يرغبون فيها حول أجهزتهم المخترقة، أو بدء العمليات التي يقوم بتشغيلها أو إنهاؤها أو حذفها. ويمكنهم استخدامه للعثور على الملفات وإخراجها وحذفها، ومحو أي سجلات أحداث لإخفاء أدلة الطب الشرعي الناتجة. يأتي الباب الخلفي مزودًا بمسجل مفاتيح، وملتقط لقطة شاشة، ووسيلة للوصول إلى كاميرا الجهاز، والكثير من الوظائف المفيدة الأخرى للتحكم في الماوس، أو إجراء عملية Windows الأصلية، أو ببساطة تشغيل أوامر عشوائية.

يقول نيك بياسيني، رئيس قسم التوعية بشركة Cisco Talos: "الأمر الأكثر إثارة للقلق بالنسبة لي هو كيفية تصميمه خصيصًا لتجنب طرق الكشف السابقة". ومع هذا البديل الجديد، على وجه التحديد، "بذلوا جهدًا للقيام بأشياء من شأنها أن تغير الطريقة التي يعمل بها الكشف الأساسي".

ليس الأمر أن SugarGh0st لديه أي آليات تهرب جديدة بشكل خاص. بدلاً من ذلك، فإن التغييرات الجمالية الطفيفة تجعلها تبدو مختلفة عن المتغيرات السابقة، مثل تغيير بروتوكول اتصال الأمر والتحكم (C2) بحيث بدلاً من 5 بايت، تحتفظ رؤوس حزم الشبكة بالبايتات الثمانية الأولى باعتبارها بايتات سحرية (قائمة من توقيعات الملف، المستخدمة لتأكيد محتويات الملف). يقول بياسيني: "إنها مجرد طريقة فعالة جدًا لمحاولة التأكد من أن أدوات الأمان الموجودة لديك لن تلتقط هذا الأمر على الفور".

مطاردات Gh0st RAT القديمة

في سبتمبر 2008، تواصل مكتب الدالاي لاما مع باحث أمني (لا، هذه ليست بداية مزحة سيئة).

وكان موظفوها يتعرضون لرسائل البريد الإلكتروني التصيدية. كانت تطبيقات Microsoft تتعطل، بدون تفسير، في جميع أنحاء المؤسسة. راهب واحد ذكر يشاهد جهاز الكمبيوتر الخاص به وهو يفتح برنامج Microsoft Outlook من تلقاء نفسه، ويرفق المستندات برسالة بريد إلكتروني، ويرسل هذا البريد الإلكتروني إلى عنوان غير معروف، كل ذلك دون إدخاله.

واجهة المستخدم باللغة الإنجليزية لنموذج Gh0st RAT التجريبي؛ المصدر: Trend Micro EU عبر Wayback Machine

واجهة مستخدم باللغة الإنجليزية لنموذج Gh0st RAT التجريبي. المصدر: Trend Micro EU عبر Wayback Machine

يقول بياسيني إن حصان طروادة المستخدم في تلك الحملة العسكرية الصينية ضد الرهبان التبتيين قد صمد أمام اختبار الزمن لعدة أسباب.

"تعيش عائلات البرامج الضارة مفتوحة المصدر لفترة طويلة لأن الجهات الفاعلة تحصل على جزء كامل من البرامج الضارة التي يمكنها التعامل معها على النحو الذي تراه مناسبًا. كما يسمح أيضًا للأشخاص الذين لا يعرفون كيفية كتابة البرامج الضارة إليهم الاستفادة من هذه الأشياء مجانا،" هو يوضح.

ويضيف أن Gh0st RAT يبرز بشكل خاص باعتباره "RAT وظيفيًا للغاية ومصممًا بشكل جيد للغاية".

الطابع الزمني:

اكثر من قراءة مظلمة