U3F1ZWV6ZTE1Njg4NDY3OTQ0X0FjdGl2YXRpb24xNzc3Mjg2OTg2NDQ=

قراصنة يهاجمون المؤسسات المالية والمنظمات الحكوميه باستخدام "Proyecto RAT"

قراصنة يهاجمون المؤسسات المالية والمنظمات الحكومية باستخدام "Proyecto RAT"

لاحظ الباحثون الأمنيون حملة جديدة تستهدف المؤسسات المالية والمنظمات الحكوميه بنسخة مخصصة من أداة الوصول عن بعد تسمى "Proyecto RAT"
تم العثور على الحمولة النافعة المراد كتابتها في Visual Basic 6 ويستخدم yopmail خدمة عنوان البريد الإلكتروني المتاح للإتصال به في C&C  يُعرف yopmail بإنشاء صناديق الوارد المؤقتة

عملية العدوى

وفقًا لتقرير Trend Micro ، يستهدف الهجوم بشكل أساسي المنظمات في منطقة أمريكا الجنوبية ، خاصة في كولومبيا. تبدأ الإصابة ببريد إلكتروني مخصص يتم إرساله إلى الهدف من خوادم البريد المفتوحة أو المعرضة للخطر فى منطقة أمريكا الجنوبية
يحتوي البريد الإلكتروني علي ملف مرفق RTF ويحتوى علي موضوعات مغرية

  1. "Hemos iniciado un proceso en su contra por violencia labour." (ترجمة فضفاضة إلى "لقد رفعنا دعوى ضدك بسبب العنف في مكان العمل")
  2. "Se hara efectivo un الحظر من su (s) cuenta (s) Bancarias." (يترجم بشكل فضفاض إلى "حساباتك المصرفية سيتم حظرها.")
  3. "Almacenes exito te obsequia una tarjeta regalo virtual por valor de 500.000 $." (يترجم بشكل فضفاض إلى "متاجر Exito تقدم لك هدية افتراضية بقيمة 500.000 دولار")


يحتوي المرفق على ارتباطات مختصرة توجه الضحايا إلى خدمات مشاركة الملفات ، وملف التسليم هو ملف MHTML ممكّن في الماكرو. إن macrocode مسؤول عن تنزيل وتنفيذ حمولة المرحلة الأولى Imminent Monitor RAT
كما يشير الاسم ، فإنه يراقب جميع أنشطة الشبكة ويتضمن معلومات لتنفيذ حمولة المرحلة الثانية. يدعم Imminent Monitor RAT مجموعة واسعة من أنشطة المراقبة التي تشمل التجسس على لوحات المفاتيح ونقل الملفات والتقاط لقطات الشاشة وتسجيل موجزات الصوت

المرحلة الثانية الحمولة - Proyecto RAT

المرحلة الثانية من الحمولة النافعة هى "Proyecto RAT" الذي يستخدم خدمة البريد الإلكتروني yopmail التى يمكن التخلص منها للاتصال في C&C
بناءً على تقرير تحليل Trend Micro ، "يتصل البرنامج الضار بصندوق بريد ، ويقرأ رسالة البريد الإلكتروني الوحيدة المتاحة ، ويوزعها ، ثم يستخرج موضوع رسالة البريد الإلكتروني. يقع عنوان URL لخادم C&C بين الأحرف "،" ، وقد تم استخدام الحرف المستخدم في مربعات البريد الإلكتروني باللغة الإسبانية والشجرة "
يعتقد الباحثون أن "Proyecto RAT" "هو إصدار قديم ومحدود من Xpert RAT - إما تعديل مخصص لـ Xpert RAT أو برامج ضارة مع شفرة مصدر تستند إلى Xpert RAT"
الهجمات التي استهدفت أمريكا الجنوبية وكولومبيا هى البلد الأكثر استهدافًا ، تبعتها الحملة ، ويبدو أن الحملات الأخيرة كانت تستهدف الكيانات الحكومية ومؤسسات الرعاية الصحية / الصيدلانية ومنظمات الصناعات الزراعية / الغذاء / التعبئة والتغليف
ليست هناك تعليقات
إرسال تعليق

إرسال تعليق

اذا اعجبك الموضوع علق بتعليق If you like the subject, comment on the comment