كاسبرسكي تحذر : برنامج RapperBot الخبيث من فئة ديدان “ميراي” يستهدف أجهزة إنترنت الأشياء
كتب احمد مصطفى
يقوم المجرمون السيبرانيون بتطوير مهاراتهم وأدواتهم باستمرار، ويبحثون دائماً عن طرق جديدة لإلحاق الضرر بالأفراد والشركات. وفي مدونتها Securelist الأخيرة، اكتشفت كاسبرسكي طرق العدوى غير الشائعة التي يستخدمها المهاجمون. وفضلاً عن اكتشافات أخرى، تم تسليط الضوء على برنامج RapperBot ضمن فئة ديدان “ميراي” الخبيثة التي تصيب أجهزة إنترنت الأشياء، حيث يتمثل هدفها النهائي في شن هجمات حجب الخدمة الموزعة (DDoS) ضد أهداف لا ترتبط ببروتوكول نقل النص الفائق HTTP. وتتضمن الطرق الأخرى المذكورة في المدوّنة سرقة المعلومات Rhadamanthys و CUEMiner، ويتم ذلك بالاعتماد على البرامج الخبيثة مفتوحة المصدر التي يُفترض أن يتم توزيعها من خلال BitTorrent و One Drive.
وتم الكشف عن برنامج RapperBot الخبيثة لأول مرة في يونيو 2022، عندما استخدمت لاستهداف بروتوكول Secure Shell (SSH)، الذي يُعتبر طريقة آمنة لتوصيل الملفات، لأنه يستخدم الاتصالات المشفرة، مقارنة بخدمات البروتوكول الشبكي Telnet التي تنقل البيانات على شكل نص عادي. ومع ذلك، نجح أحدث إصدار من برنامج RapperBot من إزالة وظائف بروتوكول (SSH)، ويركز الآن حصرياً على البروتوكول الشبكي Telnet، وتمكن من تحقيق بعض النجاح. وفي الربع الأخير من العام الماضي 2022، وصل عدد محاولات الإصابة باستخدام برنامج RapperBot إلى 112,000 مستخدم من أكثر من 2,000 عنوان فريد لبروتوكول الإنترنت.
ومن أهم ما يميز برنامج RapperBot عن الديدان الأخرى اتباعه طريقة الهجمات القوة العمياء الذكية “intelligent brute forcing”، حيث إنه يتحقق أولاً من أداة التوجيه التي يستند إليها لتحديد بيانات الاعتماد المناسبة. وتعمل هذه الطريقة على تسريع هجمات القوة العمياء بشكل كبير، حيث لا يفترض بها تجاوز قائمة ضخمة من بيانات الاعتماد. وفي ديسمبر 2022، كانت تايوان وكوريا الجنوبية والولايات المتحدة أكثر ثلاث دول يوجد فيها أعلى عدد من الأجهزة المصابة ببرنامج RapperBot.
وهناك عائلة برامج خبيثة أخرى وصفتها مدونة كاسبرسكي وهي CUEMiner، استناداً إلى برنامج خبيث مفتوح المصدر ظهر لأول مرة على Github في العام 2021. وتم اكتشاف الإصدار الأخير في أكتوبر 2022، ويتضمن عامل تعدين ذاتي، وما يسمى بـ “المراقب”. ويراقب هذا البرنامج نظاماً معيناً، وفي الوقت ذاته يتم إطلاق عملية ثقيلة، مثل “لعبة فيديو” على جهاز كمبيوتر الضحية.
وفي أثناء التحقيق الذي أجرته على CUEMiner، لاحظت كاسبرسكي وجود طريقتين لنشر البرنامج الخبيث. وتتم الأولى عبر برنامج مخترق بأحد تروجانات يتم تنزيله عبر BitTorrent. وتكون الأخرى عبر برنامج مخترق أيضاً بأحد تروجانات يتم تنزيله من شبكات مشاركة الملفات OneDrive. ونظراً لعدم وجود روابط مباشرة متاحة في وقت النشر، لا يزال من غير الواضح الطرق التي يتم اتباعها للإيقاع بالضحايا، ودفعهم لتنزيل هذه الحزم المخترقة. ومع ذلك، فإن العديد من مواقع اختراق أنظمة الكمبيوتر الآمنة هذه الأيام لا توفر التنزيلات على الفور، ولكنها تشير إلى قنوات خوادم Discord لإجراء المزيد من المناقشة. ويشير هذا إلى أحد أشكال التفاعل البشري والهندسة الاجتماعية.
وتحظى هذه البرامج الخبيثة “مفتوحة المصدر” بشعبية كبيرة بين مجرمي الإنترنت الهواة أو غير المهرة، لأنها تسمح لهم بشن حملات ضخمة، حيث ينتشر ضحايا CUEMiner حالياً في جميع أنحاء العالم، ويكون بعضهم داخل شبكات المؤسسات. وتبين من خلال استخدام قراءات الواردة عن شبكة كاسبرسكي الأمنية أن البرازيل والهند وتركيا سجلت أكبر عدد من الضحايا.
وأخيراً، توفر مدونة كاسبرسكي معلومات جديدة عن Rhadamanthys، وهو برنامج لسرقة المعلومات يستخدم إعلانات “غوغل” كوسيلة لتوزيع البرامج الخبيثة وإيصالها. وتم عرضه بالفعل على Securelist في مارس 2023، ولكن منذ ذلك الحين، تم الكشف عن أن برنامج Rhadamanthys يرتبط باتصال قوي بـ Hidden Bee miner الذي يستهدف مباشرة أنشطة تعدين العملات المشفرة. ويستخدم كلا النموذجين الصور لإخفاء الحمولة داخلهما، ويشتملان على رموز خارجية متشابهة للتنظيم الذاتي. ويستخدم البرنامجان أيضاً “أنظمة الملفات الافتراضية في الذاكرة”، ولغة البرمجة “لوا” Lua لتحميل الإضافات والوحدات.
وقال جورنت فان دير فيل، كبير الباحثين الأمنيين في فريق البحث والتحليل العالمي لدى كاسبرسكي: “يستخدم مجرمو الإنترنت على نطاق واسع البرامج الخبيثة مفتوحة المصدر، وإعادة استخدام التعليمات البرمجية، وإعادة تصميم العلامة التجارية. وهذا يعني أنه يمكن للمهاجمين الأقل مهارة الآن تنفيذ حملات واسعة النطاق، واستهداف الضحايا في جميع أنحاء العالم. لقد أصبح الإعلان الخبيث اتجاهاً سائداً على نطاق واسع، بل أصبح مطلوباً بشدة بين مجموعات البرامج الخبيثة. ولتجنب مثل هذه الهجمات ولحماية شركتك من التعرض للاختراق، يتعين عليك امتلاك الدراية الكافية إزاء ما يجري في مجال الأمن السيبراني، واستخدام أحدث أدوات الحماية المتاحة”.
تعرف على المزيد حول طرق العدوى الجديدة والتقنيات التي يستخدمها مجرمو الإنترنت على Securelist.
ولحماية نفسك وعملك من هجمات برامج الفدية، احرص على اتباع القواعد التالية المقترحة من كاسبرسكي:
• لا تقم بعرض خدمات سطح المكتب البعيد (مثل بروتوكول سطح المكتب البعيد RDP) للشبكات العامة، ما لم يكن ذلك ضرورياً للغاية، واستخدم دائماً كلمات مرور قوية لها.
• قم بتثبيت التصحيحات المتاحة لحلول الشبكة الخاصة الافتراضية (VPN) التجارية على الفور، لتوفير الوصول للموظفين البعيدين، لاسيما وأنها تعمل كبوابات في شبكتك.
• ركز إستراتيجيتك الدفاعية على اكتشاف الحركات الجانبية وسحب البيانات إلى الإنترنت، مع ضرورة الانتباه بشكل خاص لحركة المرور الصادرة لاكتشاف أي اتصالات يقوم بها المجرمو السيبرانيون.
• قم بنسخ البيانات احتياطياً وبانتظام، والتأكد من أنه يمكنك الوصول إليها بسرعة في حالة الطوارئ عند الحاجة.
• استخدم الحلول الفعالة، مثل Kaspersky Endpoint Detection and Response Expert وخدمة Kaspersky Managed Detection and Response التي تساعد على تحديد الهجمات والعمل على إيقافها في المراحل المبكرة، قبل أن يصل المهاجمون إلى أهدافهم النهائية.
• استخدم أحدث معلومات التهديدات للبقاء على دراية بالتقنيات والاجراءات والاختبارات الفعلية التي يستخدمها المهاجمون. وتعتبر بوابة Kaspersky Threat Intelligence Portal نقطة شاملة لمعلومات التهديدات من كاسبرسكي، لأنها توفر البيانات والأفكار ذات الصلة بالهجمات الإلكترونية التي جمعها فريقنا على مدار 25 عاماً. ولمساعدة الشركات على تمكين الدفاعات الفعالة في هذه الأوقات المضطربة، أعلنت كاسبرسكي عن الوصول إلى معلومات مستقلة ومحدثة باستمرار ومن مصادر عالمية حول الهجمات الإلكترونية والتهديدات المستمرة.