كشـف البـااحثون عن بيثون رات "JhoneRAT" الجديدة المستنده الى مجموعة النظراء والتى تنتشر عبر مستند MS word المصنوع من الأسلحة لسرقة البيانات الحساسة من العديد من الخدمات المستندة إلى مجموعة النظراء مثل Google Drive و Twitter و ImgBB و Google Forms.
JhoneRAT python RAT يستهدف على وجه التحديد مجموعة محددة للغاية من البلدان الناطقة بالعربية مثل المملكة العربية السعودية والعراق ومصر وليبيا والجزائر والمغرب وتونس وعمان واليمن وسوريا والإمارات العربية المتحدة والكويت والبحرين ولبنان
اكتشف الباحثون أن الجهات الفاعلة التي تقف وراء هذا الهجوم طورت RAT محلية الصنع واختارت بعناية الأهداف في بلدان مختلفة بناءً على تخطيط لوحة المفاتيح للضحية.
تعمل RAT في طبقات متعددة تستضيفها موفرات السحابة وتنتشر عبر المستندات الضارة لاستغلال الثغرات المعروفة لتنزيل الحمولة النافعة الإضافية.
للتهرب من القائمة السوداء ، يوفر المهاجمون الذين يستخدمون السحابة المعروفة مثل Google والعروض الإضافية مثل Twitter و ImgBB.
"البرامج الضارة JhoneRAT مقسمة إلى طبقتين - كل طبقة تقوم بتنزيل حمولة جديدة على موفر سحابة لتطوير RAT النهائي في بيثون"
التركيز على الخدمات السحابية المختلفة
الجهات الفاعلة التي تهدد الاستفادة من 4 مزودي خدمات سحابية مختلفين بدلاً من البنية التحتية الخاصة بهم التي تساعد على تجنب الاكتشاف وتجعل من الصعب التمييز بين حركة المرور الخبيثة والمشروعة.
نظرًا لأن مزود الخدمات السحابية المعروف باستخدام HTTPS الذي يجعل MITM معقدًا ومن الصعب اكتشاف الأنشطة الضارة للمدافعين
وفقًا لـ Talos Research ”حتى أثناء استخدام هذه الخدمات ، ذهب مؤلفو JhoneRAT إلى أبعد من ذلك واستخدموا سلاسل مختلفة من وكيل المستخدم حسب الطلب ، وحتى على التنزيل ، استخدم المؤلفون سلاسل أخرى من وكيل المستخدم
إصابة الهدف من خلال وثيقة الأسلحة
حدد باحثو Cisco بعض مستندات Microsoft Office الضارة التى تنتشر عبر حملات البريد الإلكترونى العشوائى التى تغرى الضحايا بفتحها عن طريق المطالبة بالمستند تحتوي على معلومات عاجلة
يحتوي المستند الضار على ماكرو يتم تنفيذه بمجرد أن يفتح الضحية المستند بالنقر فوق "تمكين التحرير
تم تحديد العديد من وثائق شرك في الحملة ، ومستند Office الإضافي الذي يحتوي على ماكرو يتم تنزيله وتنفيذه. توجد المستندات على Google Drive.
المهاجمون بعد عدة مراحل إصابة لإصابة الضحايا باستخدام الخدمات السحابية
- القالب الضار على Google Drive - يحتوي القالب الموجود على Google Drive على ماكرو
- ملف الصورة على Google Drive - قم بتنزيل ملف الصورة صورة حقيقية مع إلحاق قاعدة ثنائية مشفرة base64 في النهاية
- ملف Autoit - بيانات base64 التي تم فك تشفيرها هى AutoIT الثنائية. ينزل هذا الملف الثنائي ملفًا جديدًا على Google Drive.
- Python RAT باستخدام موفري السحابة - حمولة نهائية تسقط أداة الوصول عن بعد (RAT) المكتوبة في Python.
اطلق الباحثون اسم python RAT على أنه JhoneRAT ويتم لف رمز python فى ملف قابل للتنفيذ باستخدام PyInsaller
JhoneRAT أيضا باستخدام 3 ثلاثة أوامر:
- التقط لقطة وتحميلها إلى ImgBB.
- تحميل ثنائي المقنعة لديه صورة من Google Drive وتنفيذها.
- تنفيذ أمر وإرسال الإخراج إلى نماذج جوجل.
باستخدام Python RAT ، الجهات الفاعلة في Threat التي تستهدف بشكل خاص البلدان الناطقة بالشرق الأوسط والعربية ، كما قاموا بتطبيق حيل مكافحة VM (ورمل رمل) ومكافحة التحليل لإخفاء الأنشطة الضارة لمحلل البرامج الضارة.
واللجنة الأولمبية الدولية
- 273aa20c4857d98cfa51ae52a1c21bf871c0f9cd0bf55d5e58caba5d1829846f
- 29886dbbe81ead9e9999281e62ecf95d07acb24b9b0906b28beb65a84e894091
- d5f10a0b5c103100a3e74aa9014032c47aa8973b564b3ab03ae817744e74d0796cc0c11c754
- 7e1121fca3ac7c2a447b61cda997f3a8202a36bf9bb08cca3402df95debafa69
- b4a43b108989d1dde87e58f1fd6f81252ef6ae19d2a5e8cd76440135e0fd6366
- 4228a5719a75be2d6658758fc063bd07c1774b44c10b00b958434421616f1548