اكتشف باحثو الأمن زيادة حديثة في الهجمات التي تنطوي على متغير جديد متطور من Jupyter، وهو برنامج سرقة المعلومات الذي يستهدف مستخدمي متصفحات Chrome وEdge وFirefox منذ عام 2020 على الأقل.
يمكن للبرامج الضارة، التي يشار إليها أيضًا باسم Yellow Cockatoo وSolarmarker وPolazert، أن تقوم بالدخول إلى الأجهزة الخلفية وجمع مجموعة متنوعة من معلومات الاعتماد، بما في ذلك اسم الكمبيوتر وامتيازات مسؤول المستخدم وملفات تعريف الارتباط وبيانات الويب ومعلومات إدارة كلمات مرور المتصفح والبيانات الحساسة الأخرى من الأنظمة الضحية - مثل عمليات تسجيل الدخول لمحافظ العملات المشفرة وتطبيقات الوصول عن بعد.
التهديد السيبراني المستمر لسرقة البيانات
قام باحثون من شركة VMware's Carbon Black بإدارة خدمة الكشف والاستجابة (MDR) مؤخرًا لاحظت النسخة الجديدة من البرامج الضارة التي تستفيد من تعديلات أوامر PowerShell والحمولات الموقعة رقميًا ذات المظهر الشرعي، مما أدى إلى إصابة عدد متزايد من الأنظمة منذ أواخر أكتوبر.
وقالت VMware في مدونتها الأمنية هذا الأسبوع: "تستخدم إصابات Jupyter الأخيرة شهادات متعددة للتوقيع على برامجها الضارة، والتي بدورها يمكن أن تسمح بمنح الثقة للملف الضار، مما يوفر الوصول الأولي إلى جهاز الضحية". "يبدو أن هذه التعديلات تعزز قدرات [Jupyter] على المراوغة، مما يسمح لها بالبقاء غير واضحة."
Morphisec و بلاك بيري - حدد بائعان آخران قاما بتتبع Jupyter سابقًا - البرامج الضارة بأنها قادرة على العمل كباب خلفي كامل. لقد وصفوا قدراته على أنها تشمل دعم اتصالات القيادة والتحكم (C2)، والعمل كقطارة ومحمل للبرامج الضارة الأخرى، وإفراغ كود الصدفة لتجنب الكشف، وتنفيذ البرامج النصية والأوامر PowerShell.
أبلغت BlackBerry عن ملاحظة أن Jupyter يستهدف أيضًا محافظ العملات المشفرة، مثل Ethereum Wallet وMyMonero Wallet وAtomic Wallet، بالإضافة إلى الوصول إلى OpenVPN وRemote Desktop Protocol وتطبيقات الوصول عن بعد الأخرى.
استخدم مشغلو البرامج الضارة مجموعة متنوعة من التقنيات لتوزيع البرامج الضارة، بما في ذلك عمليات إعادة توجيه محرك البحث إلى مواقع الويب الضارة، والتنزيلات من محرك الأقراص، والتصيد الاحتيالي، وتسميم تحسين محركات البحث (SEO) - أو التلاعب بشكل ضار بنتائج محرك البحث لتقديم برامج ضارة.
Jupyter: التعرف على اكتشاف البرامج الضارة
في أحدث الهجمات، كان ممثل التهديد الذي يقف وراء Jupyter يستخدم شهادات صالحة للتوقيع رقميًا على البرامج الضارة بحيث تبدو شرعية لأدوات الكشف عن البرامج الضارة. تحتوي الملفات على أسماء مصممة لمحاولة خداع المستخدمين لفتحها، مع عناوين مثل "دليل أصحاب العمل إلى مجموعة الصحة Continuation.exe"و"كيفية إجراء تعديلات على مستند Word-Permanent.exe".
لاحظ باحثو VMware أن البرنامج الضار يقوم بإجراء اتصالات شبكة متعددة بخادم C2 الخاص به لفك تشفير حمولة برنامج سرقة المعلومات وتحميلها في الذاكرة، وذلك فور وصوله إلى نظام الضحية.
وفقًا لتقرير VMware، "تستهدف عدوى Jupyter، التي تستهدف متصفحات Chrome وEdge وFirefox، عملية تسميم تحسين محركات البحث (SEO) وعمليات إعادة توجيه محركات البحث لتشجيع تنزيل الملفات الضارة التي تمثل ناقل الهجوم الأولي في سلسلة الهجوم". "لقد أظهرت البرامج الضارة إمكانية جمع بيانات الاعتماد وقدرات الاتصال المشفرة C2 المستخدمة لتصفية البيانات الحساسة."
زيادة مثيرة للقلق في عدد سارقي المعلومات
تعد Jupyter من بين أكثر 10 إصابات متكررة اكتشفها VMware على شبكات العملاء في السنوات الأخيرة، وفقًا للمورد. وهذا يتفق مع ما رواه آخرون عن أ ارتفاع حاد ومثير للقلق في استخدام سارقي المعلومات بعد التحول واسع النطاق إلى العمل عن بعد في العديد من المؤسسات بعد بدء جائحة كوفيد-19.
الكناري الأحمرعلى سبيل المثال، أفادت أن سارقي المعلومات مثل RedLine وRacoon وVidar قد وضعوا قوائمها العشرة الأولى عدة مرات في عام 10. وفي أغلب الأحيان، وصلت البرامج الضارة كملفات تثبيت مزيفة أو مسمومة لبرامج مشروعة عبر إعلانات ضارة أو من خلال التلاعب بتحسين محركات البحث. وجدت الشركة مهاجمين يستخدمون البرامج الضارة بشكل أساسي لمحاولة جمع بيانات الاعتماد من العاملين عن بعد، مما مكّن من الوصول السريع والمستمر والمميز إلى شبكات وأنظمة المؤسسة.
قال باحثو Red Canary: "لا توجد صناعة محصنة ضد البرامج الضارة التي تسرق، وغالبًا ما يكون انتشار هذه البرامج الضارة انتهازيًا، عادةً من خلال الإعلانات والتلاعب بتحسين محركات البحث".
ذكرت Uptycs أ زيادة مماثلة ومثيرة للقلق في توزيع infostealer في وقت سابق من هذا العام. وأظهرت البيانات التي تتبعتها الشركة أن عدد الحوادث التي نشر فيها المهاجم أداة سرقة المعلومات تضاعفت في الربع الأول من عام 2023، مقارنة بالفترة نفسها من العام الماضي. عثر بائع الأمان على جهات تهديد تستخدم البرامج الضارة لسرقة أسماء المستخدمين وكلمات المرور ومعلومات المتصفح مثل الملفات الشخصية ومعلومات الملء التلقائي ومعلومات بطاقة الائتمان ومعلومات محفظة التشفير ومعلومات النظام. يمكن لسرقة المعلومات الأحدث مثل Rhadamanthys أيضًا سرقة السجلات على وجه التحديد من تطبيقات المصادقة متعددة العوامل، وفقًا لـ Uptycs. يتم بعد ذلك بيع السجلات التي تحتوي على البيانات المسروقة في المنتديات الإجرامية، حيث يوجد طلب كبير عليها.
"إن عملية تسلل البيانات المسروقة لها تأثير خطير على المنظمات أو الأفراد، حيث يمكن بيعها بسهولة على شبكة الإنترنت المظلمة كنقطة وصول أولية للجهات الفاعلة الأخرى في مجال التهديد.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant
- :لديها
- :يكون
- :أين
- 10
- 2020
- 2022
- 2023
- 7
- a
- من نحن
- الوصول
- الوصول
- وفقا
- التمثيل
- الجهات الفاعلة
- إضافة
- مشرف
- دعاية
- بعد
- السماح
- السماح
- تقريبا
- أيضا
- من بين
- an
- و
- يبدو
- التطبيقات
- التطبيقات
- هي
- حول
- وصل
- AS
- At
- مهاجمة
- الهجمات
- التحقّق من المُستخدم
- الباب الخلفي
- BE
- كان
- بدأ
- وراء
- اسود
- المدونة
- المتصفح
- المتصفحات
- الحملات
- CAN
- قدرات
- قادر على
- كربون
- فيزا وماستركارد
- الشهادات
- سلسلة
- الكروم
- زبون
- الكود
- Communication
- مجال الاتصالات
- حول الشركة
- مقارنة
- الكمبيوتر
- حول
- التواصل
- ثابتة
- مراقبة
- ملفات تعريف الارتباط ( الكوكيز )
- كوفيد-19
- وباء COVID-19
- الاعتماد
- أوراق اعتماد
- ائتمان
- بطاقة إئتمان
- مجرم
- الانترنت
- خطير
- غامق
- الويب المظلم
- البيانات
- فك تشفير
- نقل
- الطلب
- تظاهر
- نشر
- وصف
- تصميم
- سطح المكتب
- الكشف عن
- كشف
- رقميا
- نشر
- توزيع
- مضاعفة
- التنزيلات
- في وقت سابق
- بسهولة
- حافة
- تمكين
- شجع
- مشفرة
- محرك
- تعزيز
- مشروع
- ethereum
- محفظة Ethereum
- تملص
- تنفيذ
- exfiltration
- زائف
- قم بتقديم
- ملفات
- برنامج فايرفوكس
- الاسم الأول
- متابعيك
- في حالة
- المنتديات
- وجدت
- متكرر
- تبدأ من
- كامل الأهلية
- عمل
- جمع
- الحصول على
- منح
- موسم الحصاد
- اﻟﺤﺼﺎد
- يملك
- ثقيل
- HTML
- HTTPS
- محدد
- فورا
- التأثير
- in
- بما فيه
- القيمة الاسمية
- الأفراد
- العالمية
- العدوى
- info
- معلومات
- في البداية
- مثل
- إلى
- تنطوي
- IT
- انها
- JPG
- هبوط
- على نطاق واسع
- اسم العائلة
- العام الماضي
- متأخر
- الأقل
- شرعي
- الاستفادة من
- قوائم
- تحميل
- محمل
- آلة
- الآلات
- صنع
- في الأساس
- القيام ب
- البرمجيات الخبيثة
- الكشف عن البرامج الضارة
- تمكن
- مدير
- التلاعب
- تلاعب
- كثير
- MDR
- مكبر الصوت : يدعم، مع دعم ميكروفون مدمج لمنع الضوضاء
- التعديلات
- الأكثر من ذلك
- أكثر
- مصادقة متعددة العوامل
- متعدد
- الاسم
- أسماء
- شبكة
- الشبكات
- جديد
- لا
- عدد
- شهر اكتوبر
- of
- غالبا
- on
- افتتاح
- مشغلي
- or
- المنظمات
- أخرى
- أخرى
- وباء
- كلمة المرور
- إدارة كلمة المرور
- كلمات السر
- فترة
- التصيد
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- البوينت
- بوويرشيل
- سابقا
- متميز
- الامتيازات
- ملامح
- بروتوكول
- توفير
- ربع
- سريع
- راكون حيوان
- الأخيرة
- مؤخرا
- أحمر
- يشار
- لا تزال
- عن بعد
- الوصول عن بعد
- العمل عن بعد
- العمال عن بعد
- تقرير
- وذكرت
- الباحثين
- استجابة
- النتائج
- ارتفاع
- s
- قال
- نفسه
- مخطوطات
- بحث
- محرك البحث
- أمن
- بدا
- حساس
- SEO
- الخادم
- الخدمة
- قذيفة
- نقل
- أظهرت
- إشارة
- وقعت
- منذ
- So
- تطبيقات الكمبيوتر
- باعت
- متطور
- على وجه التحديد
- انتشار
- بثبات
- مسروق
- هذه
- الدعم
- نظام
- أنظمة
- استهداف
- تقنيات
- من
- أن
- •
- من مشاركة
- منهم
- then
- هناك.
- تشبه
- هم
- هذا الأسبوع
- هذا العام
- التهديد
- الجهات التهديد
- عبر
- مرات
- عناوين
- إلى
- أدوات
- تيشرت
- أعلى 10
- مقلقة
- الثقة
- محاولة
- منعطف أو دور
- اثنان
- بناء على
- تستخدم
- مستعمل
- مستخدم
- المستخدمين
- استخدام
- عادة
- الاستفادة من
- صالح
- متنوع
- تشكيلة
- بائع
- الباعة
- بواسطة
- ضحية
- في إم وير
- محفظة
- الويب
- المواقع
- أسبوع
- ابحث عن
- التي
- مع
- للعمل
- العمال
- عام
- سنوات
- زفيرنت