The Buzz Magazine
The Buzz Magazine

أبحاث «إسيت» تكتشف Lazarus الهجوم السيبراني الذي استهدف شركة شحن في جنوب إفريقيا

أبحاث «إسيت» تكتشف Lazarus الهجوم السيبراني الذي استهدف شركة شحن في جنوب إفريقيا
أبحاث «إسيت» تكتشف Lazarus الهجوم السيبراني الذي استهدف شركة شحن في جنوب إفريقيا

اكتشف الباحثون في شركة «إسيت» ESET هجوم “باب خلفي” غير معروف سابقًا يستخدم لمهاجمة شركة خدمات لوجستية للشحن في جنوب إفريقيا، والتي أطلقوا عليه اسم Vyveva.

وقد نسبوا هذه البرامج الضارة إلى مجموعة هجمات Lazarus السيئة السمعة بسبب أوجه التشابه المشتركة مع عمليات وأسلوب الهجوم.

يتضمن هجوم “الباب الخلفي” المكتشفة العديد من إمكانيات التجسس الإلكتروني، مثل استخراج الملفات وجمع المعلومات حول الكمبيوتر المستهدف ومحركاته.

يتواصل مع خادم القيادة والتحكم (C&C) عبر شبكة برنامج التخفي للاتصال المشفر “Tor” لإخفاء الهوية.


يقوم القياس عن بٌعد من «إسيت» بالكشف عن النشر المستهدف لـ Vyveva حيث وجد الباحثون جهازين ضحيتين فقط، وكلاهما خوادم مملوكة لشركة الخدمات اللوجستية للشحن الجنوب أفريقية المذكورة أعلاه.

ووفقًا لتحقيقات «إسيت»، تم استخدام Vyveva منذ ديسمبر 2018 على الأقل.


وصرح “فليب يورتشانسكو”, الباحث في شركة «إسيت», والذي قام بتحليل مجموعة Lazarus المكتشفة: “تشترك Vyveva في العديد من أوجه التشابه في الكود مع عينات مجموعة هجمات Lazarus القديمة التي تم الكشف عنها بواسطة تقنية «إسيت».

ولا تنتهي أوجه التشابه عند هذا الحد: فاستخدام بروتوكول TLS المزيف في اتصالات الشبكة، وسلاسل تنفيذ الأوامر، وطرق استخدام التشفير وخدمات Tor كلها تشير إلى Lazarus.

ومن ثم، يمكننا أن ننسب Vyveva إلى مجموعة التهديدات المستمرة المتقدمة (APT)هذه بثقة”.

ينفذ هجوم “الباب الخلفي” الأوامر الصادرة عن الجهات الفاعلة في التهديد، مثل الملفات والعمليات وجمع المعلومات.

هناك أيضًا أمر أقل شيوعًا للمزج الزمني، والذي يسمح بنسخ الطوابع الزمنية من ملف “المانح” إلى ملف وجهة أو استخدام تاريخ عشوائي.

تستخدم Vyveva شبكة Tor للتواصل مع خادم C&C. يتصل بـ C&C على فترات تصل مدتها ثلاث دقائق، ويرسل معلومات حول الكمبيوتر المصاب ومحركاته قبل تلقي الأوامر.

وأضاف “يورتشانسكو “:” هناك اهتمام خاص بوحدات المراقبة في الباب الخلفي المستخدمة لمراقبة محركات الأقراص المتصلة والمفصولة مؤخرا على الجهاز، ومراقبة عدد الجلسات النشطة، مثل المستخدمين المسجلين.

يمكن لهذه المكونات تشغيل الاتصال بخادم القيادة والتحكم خارج الفاصل الزمني العادي المكون مسبقًا من ثلاث دقائق”.

إشترك في نشرتنا الإخبارية
اشترك معنا للتوصل بآخر الأخبار، المقالات والتحديثات، ترسل مباشرة لبريدك الإلكتروني
يمكنك سحب اشتراكك متى شئت

اترك رد

لن يتم نشر عنوان بريدك الإلكتروني.