كاسبرسكي تكشف عن حملة خبيثة تستهدف الشركات عبر إصدار مزيف من ChatGPT
تاريخ النشر: 9th, October 2024 GMT
اكتشف فريق البحث والتحليل العالمي (GReAT) في كاسبرسكي حملة خبيثة جديدة تنخرط فيها برمجية حصان طروادة PipeMagic، والتي انتقلت من استهداف الكيانات في آسيا، صوب توسيع نطاق وصولها إلى المؤسسات داخل المملكة العربية السعودية. ويستخدم المهاجمون فيها إصداراً مزيفاً من تطبيق ChatGPT ليكون بمثابة طعم، وينشرون باباً خلفياً يقوم باستخراج البيانات الحساسة وتمكين الوصول الكامل عن بُعد إلى الأجهزة المخترقة.
اكتشفت كاسبرسكي برمجية الباب الخلفي PipeMagic للمرة الأولى في العام 2022، حيث كانت البرمجية هي حصان طروادة قائم على دعم المكونات الإضافية، وكانت تستهدف الكيانات في آسيا في ذاك الحين. كما وتتمتع البرمجية بالقدرة على العمل كباب خلفي أو بوابة عبور على حد سواء. وفي سبتمبر 2024، لاحظ فريق GReAT في كاسبرسكي عودة نشاط PipeMagic من جديد، فقد استهدفت هذه المرة مؤسسات داخل المملكة العربية السعودية.
يستخدم هذا الإصدار من الباب الخلفي تطبيقاً مزيفاً من ChatGPT بني بواسطة لغة البرمجة Rust. وللوهلة الأولى، يبدو التطبيق مشروعاً، إذ أنه يحتوي على عدة مكتبات Rust شائعة ومستخدمة في العديد من التطبيقات الأخرى المستندة على هذه اللغة البرمجية. ومع ذلك، فعند التنفيذ، يعرض التطبيق شاشة فارغة بدون واجهة مرئية، ويُخفي وراء ذلك مصفوفة قوامها 105,615 بايت من البيانات المشفرة والتي هي أحمال خبيثة في الواقع.
في المرحلة الثانية، تشرع البرمجية الخبيثة بالبحث عن وظائف رئيسية لواجهة برمجة التطبيقات في نظام Windows، وذلك من خلال البحث في إزاحات الذاكرة الموافقة باستخدام خوارزمية لتجزئة الأسماء. و من ثم تعمل على تخصيص موارد الذاكرة، وتحميل باب PipeMagic الخلفي، وضبط الإعدادات الضرورية، وتقوم بتنفيذ البرمجية الخبيثة.
من بين الميزات الفريدة لبرمجية PipeMagic هو أنها تولد مصفوفة عشوائية بحجم 16 بايت لإنشاء مجرى معنون يتخذ التنسيق \\. \pipe\1.. وتولد مساراً يقوم بإنشاء هذا المجرى باستمرار، فيقرأ البيانات منه، ثم يدمره. ويُستخدم هذا المجرى لاستقبال الحمولات المشفرة وإشارات الإيقاف عبر الواجهة المحلية الافتراضية. وعادة ما تعمل برمجية PipeMagic رفقة عدد من المكونات الإضافية التي تم تنزيلها من خادم قيادة وتحكم (C2)، وقد تم استضافة الخادم على سحابة Microsoft Azure هذه المرة.
حول الأمر، علق الباحث الأمني الرئيسي لدى فريق GREAT في كاسبرسكي، سيرجي لوزكين، قائلاً: «يطوّر مجرمو الإنترنت استراتيجياتهم باستمرار لبلوغ مزيد من الضحايا وتوسيع نطاق حضورهم، وهو ما يتضح من التوسع الأخير لبرمجية حصان طروادة PipeMagic من آسيا إلى المملكة العربية السعودية. وبالنظر لقدراتها، فإننا نتوقع أن نرى زيادة في الهجمات التي تستغل هذا الباب الخلفي.»
كي تتجنب الوقوع ضحية لهجوم موجه من قبل مصدر تهديد معروف أو غير معروف، يوصي باحثو كاسبرسكي بتنفيذ الإجراءات التالية:
توخ الحذر عند تنزيل البرامج من الإنترنت، خاصة إذا كانت من موقع ويب تابع لجهة خارجية. وحاول دائماً تنزيل البرنامج من الموقع الرسمي للشركة أو الخدمة التي تستخدمها.
امنح فريق مركز العمليات الأمني (SOC) لديك الوصول لأحدث معلومات التهديدات (TI). وتُعد منصة Kaspersky Threat Intelligence Portal نقطة وصول فردية لمعلومات التهديدات الخاصة بكاسبرسكي، موفرة بيانات ورؤى عن الهجمات السيبرانية، جمعتها الشركة على مدار أكثر من 20 عاماً.
طوّر مهارات فريق الحماية السيبرانية لديك للتصدي لأحدث الهجمات الموجهة باستخدام خدمة التدريب عبر الإنترنت من كاسبرسكي والتي طورها خبراء فريق GReAT.
استخدم حلول الاكتشاف والاستجابة للنقاط الطرفية (EDR) مثل Kaspersky Next لاكتشاف الحوادث على مستوى النقاط الطرفية، والتحقيق بشأنها، والاستجابة السريعة لها.
بجانب اعتماد حماية أساسية للنقاط الطرفية، طبق حلاً أمنياً على مستوى الشركات يمكنه اكتشاف التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة مثل حل Kaspersky Anti Targeted Attack Platform.
نظراً لأن العديد من الهجمات الموجهة تبدأ بالتصيد الاحتيالي أو أساليب الهندسة الاجتماعية الأخرى، عليك بإدخال تدريب للتوعية الأمنية وتعليم فريقك المهارات العملية.
المصدر: بوابة الوفد
إقرأ أيضاً:
تحليل لبيان الحكومة العراقية بشأن الأشقاء العرب: شعرت بالحرج بعد التهديدات - عاجل
بغداد اليوم - بغداد
علق الباحث في الشأن السياسي مجاشع التميمي، اليوم الثلاثاء (8 تشرين الأول 2024)، على دلالات بيان الحكومة العراقية بشأن "الاشقاء العرب"، فيما أكد إن الحكومة هي فقط من تمثل موقف العراق الرسمي تجاه السياسة الخارجية.
وقال التميمي في حديث لـ"بغداد اليوم"، ان "الحكومة العراقية تمثل موقف العراق الرسمي تجاه السياسة الخارجية وهي تواجه منذ ايام مواقف سياسية تجاه بعض الدول العربية كالأردن والامارات والمملكة العربية السعودية، لافتا الى ان بعض القيادات السياسية في الاطار التنسيقي وخارجه وضمن المكون الشيعي حملت هذه الدول المسؤولية عن ما حصل في غزة وجنوب لبنان، كما ان بعض القوى السياسية ومنهم النائب هادي السلامي طالبوا بتشريع قانون يلزم الحكومة بقطع تصدير النفط للأردن المدعوم بحجة موقف الأردن تجاه ما يحصل في لبنان وغزة".
وأضاف، ان" بعض أطراف ائتلاف إدارة الدولة ومنهم الشيخ قيس الخزعلي في كلمته يوم امس بمناسبة مرور عام على طوفان الأقصى وأبو الاء الولائي عن عدد من النواب الشيعة كالنائب يوسف الكلابي والنائب هادي السلامي وجهوا تهديدات لهذه الدول".
وبين، انه" علينا التذكير ان هناك التزامات دولية على العراق في موضوع العلاقات الدولية وربما الجميع يتذكر ان الملك عبدالله شارك في اول اتصال هاتفي جمع رئيس الوزراء محمد شياع السوداني بالرئيس الأمريكي جو بايدن في شباط من العام 2023، ويبدو ان حكومة العراق قد تعرضت لإحراج وبالتالي أصدرت البيان الذي اكد ان الحكومة هي تمثل الموقف الرسمي للدولة العراقية".
وأكد الناطق باسم الحكومة العراقية، باسم العوادي، اليوم الثلاثاء ( 8 تشرين الأول 2024)، رفض الحكومة طروحات التخوين الموجّهة للأشقاء العرب والإساءة لهم.
وقال العوادي في بيان، تلقته "بغداد اليوم"، إن "الحكومة العراقية تؤكد مضيّها في دعم كل الجهود الدولية والإقليمية الرامية الى وقف العدوان الصهيوني على أهلنا الصامدين في غزّة ولبنان، وتوظيف كل حضورها الدولي والإقليمي، والروابط مع الأشقاء والأصدقاء، من أجل ذلك الهدف، فضلاً عن إغاثة ودعم صمود الشعبين اللبناني والفلسطيني".
وأضاف انه "وفي ذات الوقت، تشدد الحكومة على رفضها طروحات التخوين الموجّهة للأشقاء والإساءة لهم، لاسيما وهم يسعون في ذات السبيل الى حماية الشعب الفلسطيني وتأكيد حقّه، وكذلك حق الشعب اللبناني، في السيادة على أرضه وحماية حدوده، بعيداً عن وحشية العدو واستهتاره".
وأشار الى إن "المواقف الرسمية للعراق تعبّر عنها الحكومة حصراً، بسياساتها وخطواتها المُستندة الى الدستور والنظام الديمقراطي، ومسؤوليتها في رسم السياسات العامة، وتقدير المصلحة العليا للشعب العراقي".
مساء الثلاثاء.. استشهاد 10 فلسطينيين في قصف للاحتلال على غزة