بلدية بيشة تطرح (9) فرص استثمارية لإنشاء مجمعات تجارية    أمير منطقة الرياض يستقبل رئيس وأعضاء مجلس إدارة نادي الإعلام الحديث    مجلس الأمن يصوت على مشروع قرار لتأمين الملاحة في مضيق هرمز    اوقية الذهب تستقر اليوم عند 4640.93 دولارًا    تراجع مؤشرات الأسهم اليابانية    أمير منطقة المدينة المنورة يرعى حفل تخريج الدفعة الثانية والعشرين من جامعة طيبة    ترامب يهدد بسجن صحفيين    85 شركة تستقبل 6000 متقدم للعمل    الجبيل يواجه الجندل والعربي يستضيف الزلفي    مطالبة شورية بإلزام وكلاء السيارات توفير القطع بشكل دائم    تقرير «مدني حائل» على طاولة عبدالعزيز بن سعد    مساعد وزير الداخلية لشؤون التقنية يزور قيادة «الأمن البيئي»    فيصل بن بندر يطلع على أهداف وبرامج نادي الإعلام الحديث    ملامح مستقبل جديد    الهوية هي اليقين الأخير    «منتدى العمرة والزيارة».. اتفاقيات تكامل وشراكة    الشمس تبتلع مذنبا لامعا    إيران ترفض مقترح باكستان لوقف النار.. وترمب: مهلة أخيرة.. ستدفعون الثمن    الدفاعات الإماراتية تعترض 12 صاروخاً و19 مسيرة    حذرت من مخاطر ضرب محطة بوشهر النووية.. إيران تتهم وكالة الطاقة الذرية ب«التقاعس»    موجة تسريحات تعصف بعمالقة التقنية عالميا    قادري يسطع.. والتحكيم يعكر المشهد    ساديو ماني: والدتي لم تصدق أنني هربت إلى فرنسا    صفقة تبادلية مرتقبة بين الهلال وليفربول.. صلاح ل«الأزرق».. وليوناردو ل«الريدز»    3.30 تريليون ريال ائتماناً مصرفياً للأنشطة الاقتصادية    منوهاً بدعم القيادة الرشيدة.. محافظ الأحساء يطلع على استثمارات ومشاريع للطاقة    «المدني»: حالة مطرية على معظم المناطق حتى الجمعة المقبل    القيادة فن وذوق    شدد على إنشاء منصة وطنية ذكية لإدارة العقود التجارية.. «الشورى» يطالب بإلغاء المقابل المالي للوافدين بقطاع التشييد    موجز    حرب في السماء.. والأرض أمان    رئيس جمهورية المالديف يصل إلى المدينة المنورة    تحديث يحمي بيانات iPhone    انطلاق أسبوع موهبة لتنمية الشغف العلمي لدى الموهوبين    عرض «أسد» محمد رمضان في مايو المقبل    برعاية وزارة الشؤون الإسلامية ومشاركة 26 دولة.. اختتام فعاليات جائزة تنزانيا الدولية للقرآن    إنجاز لأبعد رحلة للقمر    الدعم المؤذي    طنين الأذن مؤشر نفسي خفي    القتلة يستهدفون ضحايا يشبهون أمهاتهم    مؤثرون ينشرون معلومات طبية مضللة    قطعة معدنية صغيرة تودي بحياة أسرة بأكملها    صيني ينتقم من جارة ب«مكبرات الصوت»    وزير الخارجية يتلقى اتصالًا هاتفيًا من وزير خارجية البيرو    ريادة سعودية عالمية في الاستدامة البيئية    الأمير جلوي بن عبدالعزيز يلتقي قائدي قوة نجران وجازان    أمير جازان يستقبل مدير الدفاع المدني بالمنطقة    فرع وزارة الشؤون الإسلامية في منطقة جازان يُنفّذ عدد من الفعاليات والمنجزات والبرامج الدعوية خلال شهر رمضان المبارك للعام الجاري 1447 هجرية    سر الاجتماع بين انزاغي ولاعبي الهلال    "قرارات غريبة".. رودجرز يفتح النار على التحكيم بعد خسارة ديربي الشرقية أمام الاتفاق    الدفاع المدني: استمرار هطول الأمطار الرعدية على معظم مناطق المملكة حتى يوم الجمعة المقبل    شروط جديدة تعيد تشكيل زواجات جدة    أفلام الأكشن تستهوي محبي السينما    الكم الكيفي ياجمعياتنا الأهلية    أمير الرياض يرعى حفل خريجي جامعة الفيصل ويضع حجر الأساس لمشروعات المنشآت الرياضية بالجامعة    الهلال يشعل الإعلام العالمي.. هدف برازيلي وتألق فرنسي وغضب برتغالي    راحة البال    ولادة أول وعل بمحمية الوعول في 2026    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



ToddyCat: عصابة إنترنت متقدمة تستهدف كيانات بارزة ببرمجيات خبيثة جديدة
البلاد نشر في البلاد يوم 23 - 06 - 2022

أفاد باحثو كاسبرسكي بوجود حملة تخريبية مستمرة تنفذها عصابة التهديدات المتقدمة المستمرة، المسماة ToddyCat، والتي تركّز في عملها على اختراق خوادم Microsoft Exchange المتعددة باستخدام برمجيتين خبيثتين؛ Samurai backdoor وNinja Trojan. واستهدفت الحملة في الأساس القطاعات الحكومية والعسكرية في أوروبا وآسيا.
وتُعدّ ToddyCat واحدة من العصابات الجديدة والمتطورة نسبيًا في مجال التهديدات المتقدمة المستمرة على إنترنت، واكتشف باحثو كاسبرسكي نشاطها لأول مرة في ديسمبر 2020 عندما نفذت عددًا من الهجمات على خوادم Microsoft Exchange لدى الجهات التي تستهدفها. وفي فبراير ومارس 2021، لاحظت كاسبرسكي تصعيدًا سريعًا في نشاط العصابة، حين بدأت في استغلال ثغرة ProxyLogon على خوادم Microsoft Exchange لاختراق العديد من المؤسسات في أوروبا وآسيا. لكن اعتبارًا من سبتمبر 2021، نقلت العصابة اهتمامها إلى أجهزة سطح المكتب لدى الجهات الحكومية والهيئات الدبلوماسية في آسيا، وتعمل باستمرار على تحديث ترسانتها وتواصل إلى الآن شنّ مزيد من الهجمات.
وبينما لم يتضح بعد ناقل الإصابة في الأنشطة التخريبية الحديثة التي مارستها ToddyCat، فقد أجرى الباحثون تحليلًا شاملاً للبرمجيات الخبيثة المستخدمة في الحملات. وتوظف العصابة أداتي Samurai Backdoor وNinja Trojan المتطورتين في التجسّس الرقمي، والمصممتين لاختراق الشبكات المستهدفة بعمق، مع الحفاظ على ميزة التخفّي.
وتُعدّ برمجية Samurai منفذًا خلفيًا متكاملًا يشكّل المرحلة النهائية للهجوم ويسمح للمهاجم بإدارة النظام عن بُعد والتحرّك جانبيًا داخل الشبكة المخترَقة. وتتسم هذه البرمجية الخبيثة بقدرتها على استخدام أدوات تحكّم متعددة في سير تنفيذ التعليمات البرمجية، ما يصعّب تتبع ترتيب الإجراءات في الشيفرة البرمجية. كذلك، تُستخدم هذه البرمجية لإطلاق برمجية خبيثة أخرى تُدعى Ninja Trojan، وهي أداة تنسيقية معقّدة تسمح لعدة مشغلين بالعمل على الجهاز نفسه في وقت واحد.
وتتيح Ninja Trojan أيضًا مجموعة كبيرة من الأوامر التي تسمح للمهاجمين بالتحكّم في الأنظمة البعيدة مع تجنب الانكشاف. وعادة ما تُحمَّل في ذاكرة الجهاز وتشغَّل بأدوات تحميل متنوعة. وتبدأ البرمجية هذه العملية عن طريق استرداد معلِّمات التهيئة من الحمولة المشفرة، ثم تتسلل بعمق إلى الشبكة المخترقة. وتتضمن قدرات هذه البرمجية الخبيثة إدارة أنظمة الملفات، وتشغيل واجهات الاستخدام البعيدة، وإعادة توجيه حزم TCP، وحتى السيطرة على الشبكة خلال أطر زمنية محددة، والتي يمكن تهيئتها ديناميكيًا باستخدام أمر محدّد.
وتشبه البرمجية الخبيثة أيضًا بعض البُنى الهيكلية المعروفة، التي تبدأ في إدارة الأنظمة بعد اختراقها، مثل CobaltStrike، فيما تسمح لها مزايا التخفي بالحدّ من عدد الاتصالات المباشرة من الشبكة المستهدفة إلى أنظمة القيادة والسيطرة البعيدة دون الوصول إلى الإنترنت. بالإضافة إلى ذلك، يمكنها التحكّم في مؤشرات HTTP وتمويه حركة المرور التخريبية في طلبات HTTP، ما يجعلها تبدو شرعية عن طريق تعديل ترويسة HTTP ومسارات URL، وهي مزايا تُكسب Ninja Trojan قدرة مميزة على التخفي.
وأكّد غيامباولو ديدولا الخبير الأمني لدى كاسبرسكي أن ToddyCat "عصابة تهديد متطورة" تتمتع بمهارات تقنية عالية، مشيرًا إلى قدرتها على التخفّي وتجنّب الانكشاف، والوصول إلى أكبر المؤسسات وأقواها. وقال: "ما زلنا لا نمتلك رؤية كاملة تحيط بعمليات هذه العصابة وتكتيكاتها، بالرغم من عدد أدوات التحميل والهجمات التي تم اكتشافها خلال العام الماضي، وقد لاحظنا تركيزها على القدرات المتقدّمة للبرمجيات الخبيثة، ف Ninja Trojan، كما يتضح من اسمها، برمجية يصعب اكتشافها، وبالتالي يصعب إيقافها". وأوضح ديدولا أن أفضل طريقة لمواجهة هذا النوع من التهديدات تتمثل في استخدام دفاعات متعددة المستويات، تتيح معلومات عن الأصول الداخلية وتبقى على اطلاع على أحدث معلومات التهديدات".
يمكن الاطلاع على التقرير على Securelist لمعرفة المزيد عن ToddyCat وأساليبها وطرق حماية الشبكات من هجماتها.
ويوصي باحثو كاسبرسكي باتباع الإجراءات التالية لتجنب الوقوع ضحية لهجوم موجه من قِبل جهات التهديد المعروفة أو المجهولة:
تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث معلومات التهديدات. وتُعدّ بوابة Kaspersky Threat Intelligence Portal نقطة وصول واحدة إلى معلومات التهديدات التي جمعتها كاسبرسكي على مدى نحو 25 عامًا وتتيح بيانات الهجمات الرقمية والرؤى المتعمقة والأفكار المستمدة منها. وبالإمكان الاستفادة من الوصول مجانًا إلى مجموعة من المزايا المنسقة في البوابة، ما يسمح للمستخدمين بفحص الملفات وعناوين URL وعناوين IP.
صقل مهارات فريق الأمن الرقمي وإعدادهم للتعامل مع أحدث التهديدات الموجهة من خلال تدريب كاسبرسكي عبر الإنترنت الذي طوره خبراء فريق البحث والتحليل العالمي لدى كاسبرسكي.
تنفيذ حلول الكشف عن التهديدات والاستجابة لها، مثل Kaspersky Endpoint Detection and Response، عند النقاط الطرفية، للكشف عن التهديدات عند الأجهزة الطرفية والتحقيق فيها ومعالجة الحوادث في الوقت المناسب حال وقوعها.
تنفيذ حل أمني على المستوى المؤسسي، مثل Kaspersky Anti Targeted Attack Platform، للكشف عن التهديدات المتقدمة في الشبكات في مرحلة مبكرة.
تقديم تدريب على الوعي الأمني وتعليم المهارات العملية لفريقك، من خلال Kaspersky Automated Security Awareness Platform مثلًا، نظرًا لأن العديد من الهجمات الموجهة تبدأ بمحاولات التصيّد أو مبادئ الهندسة الاجتماعية الأخرى.

انقر هنا لقراءة الخبر من مصدره.