"الأعلى للإعلام" يستدعي مسئول قناة "القصة وما فيها" على موقع "يوتيوب"    جامعة المنوفية تستضيف جلسة تعريفية حول الدراسة الممولة بالكامل في الولايات المتحدة    رئيس الوزراء: زيادة الأجور المقبلة ستكون كبيرة وستكون أكبر مقارنة بالتضخم    رباعي إقليمي يسعى للتهدئة.. هل تنجح تحركات باكستان ومصر وتركيا والسعودية؟    اشتباكات عنيفة جنوب لبنان وتوغل إسرائيلي واسع ومقاومة من حزب الله.. تفاصيل    إنتر ميامي يطلق اسم ميسي على مدرج ملعبه الجديد    «القومي للمسرح» يعلن أسماء الفائزين بمسابقة «السيد درويش للدراسات الموسيقية»    «بي بي» تضخ 1.5 مليار دولار استثمارات جديدة في مصر خلال 2026-2027    سعر الدرهم الإماراتي في البنوك المصرية اليوم    مفاجأة في أسعار الحديد والأسمنت اليوم السبت 28 مارس 2026    وكيل زراعة الغربية: نسعي لتحقيق الاكتفاء الذاتي من محصول بنجر السكر    مدبولي: تجاوزنا مشكلة نقص الطماطم والآن متوافرة في الأسواق    رئيس الوزراء: الفاتورة الشهرية لاستيراد الطاقة ازدادت بمقدار الضعف    البابا لاون الرابع عشر يؤكد مركزية المسيح ودور الكنيسة في الدفاع عن الإنسان    تجديد حبس عاملين بتهمة الشروع في قتل عاطل وإضرام النار فيه بالمطرية    إخلاء ميناء صلالة العماني وتعليق العمليات فيه «مؤقتا» بعد هجوم استهدفه    الجيش الإسرائيلي: استهدفنا مصنعا لإنتاج المواد المتفجرة اللازمة لتخصيب اليورانيوم في يزد    استئناف الدراسة غدا ب 903 مدارس في الإدارات التعليمية بمدن مطروح    الزمالك يرفض التفريط في اللاعبين الشباب بفريق الكرة    جيرارد: تعويض صلاح في ليفربول مهمة صعبة    لجنة الحكام تسلم الشارة للحكام الدوليين    مدرب موريتانيا: كنا نلعب بمستوى يفوق مستوانا بكثير ضد الأرجنتين    "اختصار الطريق" كاد يتحول لكارثة.. أمن القليوبية يضبط سائق متهور    السيطرة على حريق نشب في أشجار بجوار المرسى السياحي في قنا    تحرير 350 محضرًا تموينيًا في حملات مكثفة بأسواق ومخابز بني سويف    تعليم الغربية: انتظام 523 ألف طالب بجميع المدارس بعد انتهاء الطقس غير المستقر    صراع المركز الثاني يشتعل.. إيجي بيست يتفوق على سفاح التجمع وبرشامة يغرد منفردا    وزيرة الثقافة والمحافظ يفتتحان الدورة ال15 من «الأقصر الإفريقي».. غدا    القومي للمسرح يكرم المخرج خالد جلال خلال الاحتفال باليوم العالمي للمسرح    103 ألف زيارة منزلية لعلاج كبار السن وذوي الهمم بالشرقية    إحالة 12 من العاملين في قطاع الصحة بالشرقية للتحقيق.. لهذا السبب    طلب برلماني لمناقشة قصور رعاية مرضى «دوشين».. ومطالب بتوفير العلاج للأطفال    الداخلية تضبط 395 قضية مخدرات و240 قطعة سلاح خلال 24 ساعة    تحرك برلماني لإنصاف العاملين بهيئة الإسعاف ومساواتهم بالكوادر الطبية    بعد قليل.. نظر دعوى تعليق تنفيذ أحكام الإعدام بعد تعديلات الإجراءات الجنائية    بونو يدعو نجم ريال مدريد لارتداء قميص منتخب المغرب    الأسهم الأمريكية تدخل مرحلة تصحيح وسط مخاوف الحرب    غارات جوية تستهدف جامعة العلوم والتكنولوجيا الإيرانية ومحطة بوشهر النووية    بينهم طفل.. استشهاد 3 فلسطينيين برصاص جيش الاحتلال الإسرائيلي    بعد حملة التنمر على أسرته.. محمد الشيخ : أنا خصيم كل من ظلمني يوم القيامة    فرص عمل جديدة في 10 محافظات.. "العمل" تعلن نشرة توظيف بتخصصات متنوعة ورواتب مجزية    تجديد حبس المتهمين بالتعدي على عامل ونجله بسبب معاكسة ابنته في أكتوبر    ضبط قضايا اتجار بالنقد الأجنبي بأكثر من 24 مليون جنيه    هيئة «الرعاية الصحية» تحقق 8 ملايين دولار إيرادات من السياحة العلاجية    محافظ الشرقية يُشدد على تكثيف المتابعة الميدانية على المستشفيات الحكومية    سعر الليرة أمام الدولار في مصرف سوريا المركزي (تحديث لحظي)    حبس ابن لاعب سابق في منتخب مصر بتهمة حيازة مخدر الحشيش بالتجمع    "التضامن" توضح تفاصيل جهود فرق التدخل السريع للتعامل مع تداعيات الطقس السيء    زكريا أبو حرام يكتب: القدوة والتأثير    سبيل وكتّاب عبدالرحمن كتخدا.. لؤلؤة معمارية تزين شارع المعز    اسكواش - رباعي مصري في نصف نهائي بطولة أوبتاسيا    الدفاع الإماراتية: نتعامل حاليًّا مع اعتداءات صاروخية وطائرات مسيرة قادمة من إيران    تكريم 80 من حفظة القرآن الكريم والنماذج المتميزة في قرية البديني ببني سويف    خبيرة اجتماعية: النزوة قد تصدم الزوجة.. لكنها لا تعني نهاية العلاقة    أصعب لحظة في «المداح».. فتحي عبد الوهاب يكشف كواليس الجزء الأخير    منتخب ألمانيا يهزم سويسرا 4-3 وديا    الأزهر يوضح علامات قبول الصيام وطريق الطاعة المستمرة    صاحب الفضيلة الشيخ سعد الفقى يكتب عن : الدكتور / السيد عبد الباري الذي اعرفه؟    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



"DeathStalker" تضرب العالم ببرمجية "PowerPepper" جديدة
الاقتصادي نشر في الفجر يوم 13 - 12 - 2020

تُعدّ العصابة الرقمية المرتزقة DeathStalker إحدى الجهات سيئة السمعة المختصة بالتهديدات المتقدمة المستمرة، والتي يُعتقد أنها تقدّم خدماتها في القرصنة الرقمية لسرقة المعلومات التجارية الحساسة من الشركات لا سيما في القطاعين المالي والقانوني. وكان باحثو كاسبرسكي أول من أبلغ في أغسطس الماضي عن عودة هذه العصابة إلى النشاط، ولكن هذه المرة باستخدام تكتيكات جديدة لزرع البرمجيات الخبيثة وتوصيلها إلى الضحايا عبر منفذ خلفي أطلقت عليه كاسبرسكي الاسم PowerPepper، يستغلّ نظام أسماء النطاق (DNS) العامل على بروتوكول HTTPS كقناة اتصال لإخفاء الاتصالات التي تجري مع خادم القيادة الذي يحمل مظهرًا رسميًا سليمًا. كذلك تستخدم البرمجية الخبيثة PowerPepper العديد من أساليب التسلل، مثل إخفاء المعلومات ضمن الملفات، أو ما يُعرف ب steganography.

وبدأت عصابة DeathStalker ناطها منذ العام 2012 على الأقلّ، وهي تنفذ حملات تجسس ضد المنشآت الصغيرة والمتوسطة، لا سيما شركات المحاماة والمؤسسات المالية. وبخلاف مجموعات التهديدات المتقدمة المستمرة الأخرى، لا يبدو أن لديها دوافع سياسية أو مساعي لتحقيق مكاسب مالية من الجهات التي تستهدفها، بل إنها تعمل جهة مرتزقة تقدّم خدمات القرصنة مقابل ثمن تقبضه من الجهات التي توظفها.

وكشف باحثو كاسبرسكي حديثًا عن حملات تخريبية جديدة شنتها العصابة التي وظفت هذه المرة منفذًا خلفيًا يُعرف باسم PowerPepper. والمنافذ الخلفية برمجيات خبيثة تسمح للمهاجمين بالتحكّم في جهاز الضحية عن بُعد.

ويجري نشر PowerPepper عادةً في عمليات تصيد موجّه تُستخدم فيها رسائل البريد الإلكتروني تحتوي على ملفات خبيثة في متن الرسالة أو عبر رابط خبيث، وذلك مثلما هو الحال في سلالات البرمجيات الخبيثة الأخرى المرتبطة بالعصابة. واستغلت العصابة الأحداث والفعاليات العالمية المهمة، واللوائح التنظيمية المحددة لانبعاثات الكربون، وحتى الجائحة العالمية الراهنة لخداع ضحاياها ودفعهم لفتح الملفات الخبيثة.

ويجري إخفاء الحمولة الخبيثة الرئيسة باستخدام الأسلوب المعروف بالاسم steganography أو "إخفاء المعلومات"، والمتمثل بعملية تسمح للمهاجمين بإخفاء البيانات التخريبية وسط محتوى سليم. وجرى تضمين الشيفرة الخبيثة في حالة PowerPepper في صور عادية لنباتات السرخس أو الفلفل (ومن هنا جاء الاسم الذي يعني الفلفل اللاذع)، قبل أن تُستخرج بأداة تحميل خاصة، لتبدأ PowerPepper عندها في تنفيذ الأوامر التي ترسلها العصابة عن بُعد والتي تهدف إلى سرقة المعلومات التجارية الحساسة.

ويمكن للبرمجية الخبيثة تنفيذ أي أمر على النظام المستهدف، حتى أوامر جمع معلومات المستخدم ومعلومات الملفات الموجودة على الحاسوب، فضلًا عن تصفح الملفات المشتركة عبر الشبكة، وتنزيل ثنائيات إضافية، ونسخ المحتوى إلى مواقع بعيدة. ويجري الحصول على الأوامر من خادم القيادة عبر نظام DNS من خلال اتصالات HTTPS، وهي طريقة فعالة لإخفاء الاتصالات الخبيثة وراء الاستعلامات التي تقدم بأسماء خوادم رسمية.

وليست طريقة إخفاء المعلومات سوى واحدة من العديد من أساليب التعتيم والتهرّب التي تلجأ إليها البرمجيات الخبيثة. ويجري إخفاء أداة التحميل باعتبارها إحدى أدوات التحقق الخاصة ب GlobalSign لتقديم خدمات الهوية، كما تستخدم تشويشًا معدلًا، في حين تُخفي أجزاء من نصوص البرمجيات الخبيثة للتسليم في العناصر البرمجية المضمنة في تطبيق Word. كذلك يجري تشفير الاتصالات بين الغرسة المزروعة والخوادم، بحيث يعجز حلّ مكافحة الفيروسات عن تمييز الغرسة عند بدء تشغيل النظام بفضل استخدام البرمجية النصية الموثوق بها والموقعة.

ملخص لأساليب التشفير التي توظفها البرمجية الخبيثة PowerPepper

هذا وقد شوهدت PowerPepper في هجمات تمّت عبر أوروبا وفي الأمريكيتين وآسيا، استهدفت بها العصابة في الأساس شركات الاستشارات القانونية والمحاماة ومؤسسات الخدمات المالية وخدمات العملات الرقمية.

وقال بيير ديلشر الخبير الأمني لدى كاسبرسكي، إن PowerPepper تثبت مرة أخرى أن العصابة DeathStalker جهة تهديدات تخريبية إبداعية، مشيرًا إلى قدرتها على تطوير عمليات زرع وسلاسل أدوات جديدة باستمرار وفي فترة زمنية قصيرة، وأضاف: "PowerPepper هي الرابعة في سلاسل البرمجيات الخبيثة التي تطورها العصابة، وقد اكتشفنا سلالة خامسة محتملة، وبالرغم من أنها ليست شديدة التعقيد، فقد أثبتت فاعليتها، ربما لأن أهدافها الأساسية تتمثل في المنشآت الصغيرة والمتوسطة، والجهات التي تميل إلى امتلاك تطبيقات أمنية أقلّ قوة، ونتوقع أن تظل هذه العصابة نشطة ولكننا سنواصل مراقبة حملاتها".

انقر هنا لقراءة الخبر من مصدره.