عاجل ترامب يعيد نشر بيان إيران: وقف الهجمات مقابل تأمين الملاحة في مضيق هرمز لمدة أسبوعين    رضا فرحات: التعنت الإيراني انفلات إقليمي خطير.. والاعتداء علي دول الخليج مرفوض    طقس اليوم: مائل للحرارة نهارًا مائل للبرودة ليلًا.. والعظمى بالقاهرة 24    بالأسماء.. مصرع شخص وإصابة 26 أخرين فى انقلاب اتوبيس بطريق الغردقة غارب    طبيب يفجر مفاجأة عن التوست: يسبب السكر ويدمر الجهازين الهضمي والعصبي    4811 دولارًا للأوقية.. الذهب يزداد بريقًا بعد هدنة حرب إيران    حمادة هلال يعتذر لتامر حسني بعد أزمة «عيش بشوقك»: شيطان دخل بينا    الملك أحمد فؤاد وأسرته فى جولة سياحية بمعابد فيله بأسوان    30 دقيقة تأخرًا في حركة قطارات «القاهرة - الإسكندرية».. الأربعاء 8 أبريل    حمادة هلال يعلن إصابة والده بشلل نصفي    راي ستيفنز الحائز على جائزة جرامي يتعافى بعد كسر رقبته ونقله للمستشفى    وكالة فارس: خطة التفاوض تضمنت التزام إيران بعدم امتلاك سلاح نووى ومرور سفت عبر «هرمز»    خيانة في بيت العيلة، عم يعتدى جنسيا على طفلتي شقيقه بالمنوفية    سي إن إن عن مسؤولين أمريكيين: ويتكوف وكوشنر وفانس ضمن فريق واشنطن في محادثات إيران    أحمد هاشم يكتب: أفاعي «‬الإخوان» ‬ ‬‮«6»|‬‬محمد ‬بديع..‬ ‬مرشد ‬الدم    حريق في منشأة حبشان لمعالجة الغاز بالإمارات    الدولار يتراجع بعد إعلان وقف إطلاق النار بالشرق الأوسط    مكاسب العقود الآجلة الأمريكية بعد تعليق الهجمات على إيران    ماذا بعد تمديد مهلة ترامب لإيران... أبرز السيناريوهات المتوقعة    مصر ترحب بإعلان الرئيس الأمريكى الموافقة على تعليق العمليات العسكرية فى المنطقة    الحكم التركي يقدم دليلا قاطعا على استحقاق الأهلي لركلة جزاء أمام سيراميكا كليوباترا    نجل أبو زهرة يكشف كواليس نقل والده وقراره رفض الجراحة    كومباني: خضنا معركة أمام ريال مدريد.. وسنحاول الفوز بمواجهة الإياب    بطريرك الكنيسة الشرقية القديمة يدعو إلى الصلاة من أجل سلام العالم وشفاء جراح الحروب    مصرع عاطل بطلق ناري خلال مشاجرة في بولاق الدكرور    فرص شغل بجد.. بني سويف الأهلية تنظم الملتقى الأول للتوظيف والابتكار وريادة الأعمال    يوسف شامل يفوز بذهبية بطولة العالم للناشئين والشباب للسلاح بالبرازيل    الإمارات تندد باقتحام وتخريب قنصلية الكويت بالبصرة    الدولار يقود فوضى الأسواق .. تراجع الجنيه يتسارع والنظام يجد في الحرب مبرراً جديداً للأزمة ؟!    حريق يلتهم محلًا بسبب خلافات مالية بالدقهلية.. وضبط المتهمين    بحضور إبراهيم السمان.. جنازة وعزاء والد السيناريست محمود حمان في مسقط رأسه بالبحيرة    أبخل خلق الله .. الصهاينة يستغلون صفارات الإنذار للهروب من المطاعم وعدم دفع"الحساب "    مأساة في الإسماعيلية.. مصرع فتاة وإصابة والدها وشقيقها في حريق مروع ب"أبوصوير"    ضبط 700 كيلو دواجن نافقة في حملة تفتيشية للطب البيطري ببني سويف    الكشف الطبي على 1240 مواطنًا بالقافلة الطبية بقرية أبوصوير البلد بالإسماعيلية    أخبار × 24 ساعة.. التموين: إنتاج 525 ألف طن سكر محلى من القصب حتى الآن    قطر تطبق إجازة فى جميع مراحل التعليم حتى نهاية الأسبوع الجاري    فخري لاكاي يتوج بجائزة رجل مباراة سيراميكا والأهلي بعد هدفه الصاروخي    أربيلوا: لا أفهم القرارات التحكيمية.. وسنفوز على بايرن ميونيخ في ملعبه    عبد الحفيظ: اتحاد الكرة يعاندنا.. وسنطالب بالتحقيق في تجاوزات الحكم ضد لاعبي الأهلي    علاء عبد العال يعلن قائمة فريق غزل المحلة لمواجهة الجونة    نرمين الفقي تفجّر مفاجأة عن سر شبابها الدائم: لا فيلر ولا بوتوكس    شركة VRE Developments تطلق "Town Center 2" بمدينة الشروق باستثمارات ضخمة وتقدم نموذجًا جديدًا للمشروعات القائمة على التشغيل الفعلي    كان خارج من عزاء أخته.. السجن 15 عامًا لمتهمين اثنين و3 سنوات لثالث قتلوا مسنا في المنوفية    دياب: مكافأة التتويج بالدوري ستكون ضخمة خلال الموسم المقبل    وزير الصحة يبحث مع شركة سانوفي تعزيز التعاون في توطين صناعة اللقاحات ودعم الأمن الصحي    التحالف الوطنى فى اليوم العالمى للصحة: الحق فى الصحة أحد ركائز التنمية المستدامة    مصر تتحرك لمواجهة الفقر المائي، سويلم يكشف محاور الجيل الثاني لإدارة منظومة المياه 2.0، والإحصاءات تكشف أرقاما صادمة عن نصيب الفرد    وفد "التنسيقية" يشارك بمناقشات إعداد قانون ضوابط استخدام الأطفال لتطبيقات التواصل الاجتماعي    نظافة المدارس وانتظام حضور الطلاب.. توجيهات جديدة لمدارس الجيزة    وفد رسمي من رئاسة أوزبكستان يزور الجامع الأزهر للإشادة بدوره العلمي (صور)    البيت الأبيض ينفي دراسة توجيه ضربات نووية لإيران    خالد الجندي يحذر: التنكر للزوجة ونسيان العشرة سبب رئيسي لتفكك الأسرة    أمين البحوث الإسلامية يحذر: العلم الذي يزيد المرء كبرًا وبال على صاحبه    وفاة والد المؤلف محمود حمدان.. وهذا هو موعد ومكان العزاء    رئيس الوزراء يتابع جهود منظومة الشكاوى الحكومية خلال مارس الماضي.. أولوية قصوى للتعامل العاجل والفعال مع شكاوى واستغاثات وطلبات المواطنين المرتبطة بقطاع الصحة    دمياط تحتضن التصفيات الأولية للنسخة ال33 من المسابقة العالمية للقرآن الكريم    أيقونة العفة وسيدة نساء العالمين، ملتقى المرأة بالجامع الأزهر يستعرض سيرة السيدة "مريم"    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



ToddyCat: عصابة إنترنت متقدمة تستهدف كيانات بارزة ببرمجيات خبيثة جديدة
منة الله جمال نشر في الوفد يوم 23 - 06 - 2022

أفاد باحثو كاسبرسكي بوجود حملة تخريبية مستمرة تنفذها عصابة التهديدات المتقدمة المستمرة، المسماة ToddyCat، والتي تركّز في عملها على اختراق خوادم Microsoft Exchange المتعددة باستخدام برمجيتين خبيثتين؛ Samurai backdoor وNinja Trojan. واستهدفت الحملة في الأساس القطاعات الحكومية والعسكرية في أوروبا وآسيا.
وتُعدّ ToddyCat واحدة من العصابات الجديدة والمتطورة نسبيًا في مجال التهديدات المتقدمة المستمرة على إنترنت، واكتشف باحثو كاسبرسكي نشاطها لأول مرة في ديسمبر 2020 عندما نفذت عددًا من الهجمات على خوادم Microsoft Exchange لدى الجهات التي تستهدفها. وفي فبراير ومارس 2021، لاحظت كاسبرسكي تصعيدًا سريعًا في نشاط العصابة، حين بدأت في استغلال ثغرة ProxyLogon على خوادم Microsoft Exchange لاختراق العديد من المؤسسات في أوروبا وآسيا. لكن اعتبارًا من سبتمبر 2021، نقلت العصابة اهتمامها إلى أجهزة سطح المكتب لدى الجهات الحكومية والهيئات الدبلوماسية في آسيا، وتعمل باستمرار على تحديث ترسانتها وتواصل إلى الآن شنّ مزيد من الهجمات.
وبينما لم يتضح بعد ناقل الإصابة في الأنشطة التخريبية الحديثة التي مارستها ToddyCat، فقد أجرى الباحثون تحليلًا شاملاً للبرمجيات الخبيثة المستخدمة في الحملات. وتوظف العصابة أداتي Samurai Backdoor وNinja Trojan المتطورتين في التجسّس الرقمي، والمصممتين لاختراق الشبكات المستهدفة بعمق، مع الحفاظ على ميزة التخفّي.
وتُعدّ برمجية Samurai منفذًا خلفيًا متكاملًا يشكّل المرحلة النهائية للهجوم ويسمح للمهاجم بإدارة النظام عن بُعد والتحرّك جانبيًا داخل الشبكة المخترَقة. وتتسم هذه البرمجية الخبيثة بقدرتها على استخدام أدوات تحكّم متعددة في سير تنفيذ التعليمات البرمجية، ما يصعّب تتبع ترتيب الإجراءات في الشيفرة البرمجية. كذلك، تُستخدم
هذه البرمجية لإطلاق برمجية خبيثة أخرى تُدعى Ninja Trojan، وهي أداة تنسيقية معقّدة تسمح لعدة مشغلين بالعمل على الجهاز نفسه في وقت واحد.
وتتيح Ninja Trojan أيضًا مجموعة كبيرة من الأوامر التي تسمح للمهاجمين بالتحكّم في الأنظمة البعيدة مع تجنب الانكشاف. وعادة ما تُحمَّل في ذاكرة الجهاز وتشغَّل بأدوات تحميل متنوعة. وتبدأ البرمجية هذه العملية عن طريق استرداد معلِّمات التهيئة من الحمولة المشفرة، ثم تتسلل بعمق إلى الشبكة المخترقة. وتتضمن قدرات هذه البرمجية الخبيثة إدارة أنظمة الملفات، وتشغيل واجهات الاستخدام البعيدة، وإعادة توجيه حزم TCP، وحتى السيطرة على الشبكة خلال أطر زمنية محددة، والتي يمكن تهيئتها ديناميكيًا باستخدام أمر محدّد.
وتشبه البرمجية الخبيثة أيضًا بعض البُنى الهيكلية المعروفة، التي تبدأ في إدارة الأنظمة بعد اختراقها، مثل CobaltStrike، فيما تسمح لها مزايا التخفي بالحدّ من عدد الاتصالات المباشرة من الشبكة المستهدفة إلى أنظمة القيادة والسيطرة البعيدة دون الوصول إلى الإنترنت. بالإضافة إلى ذلك، يمكنها التحكّم في مؤشرات HTTP وتمويه حركة المرور التخريبية في طلبات HTTP، ما يجعلها تبدو شرعية عن طريق تعديل ترويسة HTTP ومسارات URL، وهي مزايا تُكسب Ninja Trojan قدرة مميزة على التخفي.
وأكّد غيامباولو ديدولا الخبير الأمني لدى كاسبرسكي أن ToddyCat "عصابة تهديد متطورة" تتمتع بمهارات تقنية عالية، مشيرًا إلى قدرتها على التخفّي
وتجنّب الانكشاف، والوصول إلى أكبر المؤسسات وأقواها. وقال: "ما زلنا لا نمتلك رؤية كاملة تحيط بعمليات هذه العصابة وتكتيكاتها، بالرغم من عدد أدوات التحميل والهجمات التي تم اكتشافها خلال العام الماضي، وقد لاحظنا تركيزها على القدرات المتقدّمة للبرمجيات الخبيثة، ف Ninja Trojan، كما يتضح من اسمها، برمجية يصعب اكتشافها، وبالتالي يصعب إيقافها". وأوضح ديدولا أن أفضل طريقة لمواجهة هذا النوع من التهديدات تتمثل في استخدام دفاعات متعددة المستويات، تتيح معلومات عن الأصول الداخلية وتبقى على اطلاع على أحدث معلومات التهديدات".
يمكن الاطلاع على التقرير على Securelist لمعرفة المزيد عن ToddyCat وأساليبها وطرق حماية الشبكات من هجماتها.
ويوصي باحثو كاسبرسكي باتباع الإجراءات التالية لتجنب الوقوع ضحية لهجوم موجه من قِبل جهات التهديد المعروفة أو المجهولة:
تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث معلومات التهديدات. وتُعدّ بوابة Kaspersky Threat Intelligence Portal نقطة وصول واحدة إلى معلومات التهديدات التي جمعتها كاسبرسكي على مدى نحو 25 عامًا وتتيح بيانات الهجمات الرقمية والرؤى المتعمقة والأفكار المستمدة منها. وبالإمكان الاستفادة من الوصول مجانًا إلى مجموعة من المزايا المنسقة في البوابة، ما يسمح للمستخدمين بفحص الملفات وعناوين URL وعناوين IP.
صقل مهارات فريق الأمن الرقمي وإعدادهم للتعامل مع أحدث التهديدات الموجهة من خلال تدريب كاسبرسكي عبر الإنترنت الذي طوره خبراء فريق البحث والتحليل العالمي لدى كاسبرسكي.
تنفيذ حلول الكشف عن التهديدات والاستجابة لها، مثل Kaspersky Endpoint Detection and Response، عند النقاط الطرفية، للكشف عن التهديدات عند الأجهزة الطرفية والتحقيق فيها ومعالجة الحوادث في الوقت المناسب حال وقوعها.
تنفيذ حل أمني على المستوى المؤسسي، مثل Kaspersky Anti Targeted Attack Platform، للكشف عن التهديدات المتقدمة في الشبكات في مرحلة مبكرة.
تقديم تدريب على الوعي الأمني وتعليم المهارات العملية لفريقك، من خلال Kaspersky Automated Security Awareness Platform مثلًا، نظرًا لأن العديد من الهجمات الموجهة تبدأ بمحاولات التصيّد أو مبادئ الهندسة الاجتماعية الأخرى.

انقر هنا لقراءة الخبر من مصدره.