تخطي إلى المحتوى الرئيسي

أصدر فريق الأبحاث والتحليلات العالمي في كاسبرسكي لاب بحثاً موسعاً حول Adwind  : وسيلة الوصول عن بعد  (RAT)، وهي برمجية خبيثة متعددة المنصات والوظائف تعرف أيضاً باسم: AlienSpy و FrutasوUnrecom وSockrat و JSocket و jRat والتي يتم توزيعها من خلال منصة واحدة للبرمجية الخبيثة المتاحة كخدمة. ووفقا لنتائج الدراسة البحثية التي أجريت خلال الفترة بين العام 2013 و 2016 تم استخدام إصدارات مختلفة من برمجية Adwind الخبيثة في هجمات استهدفت نحو 443,000 مستخدماً من القطاع الخاص وشركات تجارية وغير تجارية حول العالم. ولاتزال المنصة والبرمجية الخبيثة نشطة.

وفي نهاية العام 2015، أصبح باحثو كاسبرسكي لاب مدركين لمخاطر البرمجية الخبيثة غير العادية التي اكتشفت خلال محاولة شن هجوم موجه ضد أحد البنوك في سنغافورة. فقد كان هناك ملف خبيث اسمه  JAR مرسل كمرفق عبر رسالة بريد إلكتروني خبيثة لموظف مستهدف في البنك. ومن ضمن إمكانات البرمجية الخبيثة الواسعة أنها قابلة للتشغيل على منصات متعددة الوظائف، بالإضافة إلى حقيقة أنها لم تكن قد اكتشفت من قبل أي من برامج مكافحة الفيروسات، وهو ما جذب اهتمام الباحثين على الفور نحوها.

Adwind : وسيلة الوصول عن بعد  (RAT)

تبين بأن الشركة قد تعرضت لهجوم عن طريق برمجية Adwind RAT الخبيثة، وهي وسيلة قرصنة إلكترونية تتيح التسلل من الباب الخلفي (backdoor) متاحة للشراء ومكتوبة كلياً بلغة الـ "جافا"، وهو ما يجعلها برمجية خبيثة متعددة المنصات، وهي قابلة للتشغيل على أنظمة Windows و OS X و Linux و Android، مما يتيح قدرات فائقة للتحكم بسطح المكتب عن بعد وجمع وتسريب البيانات.

وفي حال قام المستخدم المستهدف بفتح ملف  JAR المرفق تقوم البرمجية الخبيثة بتثبيت نفسها تلقائياً وتحاول الاتصال بمخدم مركز التحكم والسيطرة. تشمل قائمة مهام البرمجية الخبيثة القدرة على:

  • تسجيل ضربات المفاتيح
  • سرقة كلمات المرور المخزنة مؤقتا والسطو على البيانات من نماذج الويب
  • التقاط صور للشاشة الرئيسية
  • التقاط صور وتسجيل الفيديو من كاميرا الويب
  •  تسجيل الصوت من الميكروفون
  • تحويل الملفات
  • جمع معلومات عامة حول النظام ومعلومات المستخدم
  •  سرقة مفاتيح تشفير العملات الإلكترونية
  • إدارة الرسائل النصية القصيرة (لنظام التشغيل: Android)
  • سرقة شهادات  VPN

    في حين أن Adwind يتم استخدامها بشكل رئيسي من قبل المهاجمين الانتهازيين وتنتشر على نطاق واسع في حملات البريد الإلكتروني المزعج، ظهرت هناك حالات استخدمت فيها لشن هجمات موجهة. وفي أغسطس من العام 2015 ذكر اسم  Adwind في أخبار تتعلق بحملة تجسس إلكتروني استهدفت وكيل النيابة الأرجنتيني الذي عثر عليه ميتاً في يناير من العام 2015. ومن الأمثلة الأخرى عن الهجوم الموجه، الهجوم الذي تعرض له البنك السنغافوري. وبإلقاء نظرة متفحصة على حالات تتعلق باستخدام AdwindRAT  نتوصل إلى أن الهجمات الموجهة لم تكن الوحيدة.

الأهداف المفضلة

خلال مرحلة قيامهم بإجراء دراستهم البحثية، تمكن باحثو كاسبرسكي لاب من تحليل ما يقرب من 200 مثال عن هجمات التصيد الإلكتروني المنظمة من قبل مجرمين مجهولين لنشر البرمجية الخبيثة  Adwind، واستطاعو تحديد معظم الأهداف في قطاعات مختلفة مثل تلك التي تنشط في مجال التصنيع والتمويل والهندسة والتصميم والبيع بالتجزئة، فضلاً عن القطاع الحكومي والشحن والاتصالات والبرمجيات والتعليم والأغذية والإنتاج والرعاية الصحية والإعلام والطاقة.

واستناداً إلى معلومات مستقاة من Kaspersky Security Network، تم رصد الأمثلة المائتين على هجمات التصيد الإلكتروني في الأشهر الستة خلال شهر أغسطس 2015 ويناير 2016، وأظهرت النتائج بأن أكثر من 68,000 مستخدم قد تعرضوا لهجمات صادرة عن نماذج برمجية Adwind RAT الخبيثة.

وأظهر التوزع الجغرافي للمستخدمين المستهدفين المسجلين عن طريق Kaspersky Security Network خلال هذه الفترة أن نصف أولئك تقريبا (49%) كانوا يعيشون في الدول العشر التالية: الإمارات العربية المتحدة، ألمانيا، الهند، الولايات المتحدة الأمريكية، إيطاليا، روسيا، فيتنام، هونغ كونغ، تركيا وتايوان.

واستناداً إلى طبيعة وخصائص الأهداف المحددة، يعتقد باحثو  كاسبرسكي لاب بأن عملاء منصة Adwind يتوزعون إلى الفئات التالية: المحتال الراغبون بالانتقال إلى المستوى التالي (أي استخدام البرمجية الخبيثة لارتكاب جرائم تزوير أكثر تطوراً) والمنافسون غير الأكفاء ومرتزقة الإنترنت (جواسيس بالأجرة)، والأفراد من القطاع الخاص الذين يريدون التجسس على الأشخاص الذين يعرفونهم.

التهديدات المتاحة كخدمة

من إحدى السمات الرئيسية المميزة لبرمجية  Adwind عن غيرها من البرمجيات الخبيثة التجارية الأخرى انه يتم توزيعها علنا ​​في شكل خدمة مدفوعة، بحيث يدفع العميل رسوماً مقابل استخدام البرمجية الخبيثة. واستناداً إلى التحقيق الذي أجراه الباحثون حول نشاط المستخدمين على لوحة الرسائل الداخلية وبعض الملاحظات الأخرى، بلغ عدد المستخدمين، وفقاً لتقديرات باحثي كاسبرسكي لاب، نحو 1,800 مستخدماً في النظام بنهاية عام 2015. وهذا ما يجعلها واحدة من أكبر منصات البرمجيات الخبيثة المتوفرة حالياً.

وقال ألكساندر غوستيف، خبير الأمن الرئيسي في كاسبرسكي لاب، "إن منصة Adwind في وضعها الراهن تخفض بشكل ملحوظ الحد الأدنى من المعرفة المهنية المطلوب توافرها لدى مجرمي الإنترنت المحتملين الذين يتطلعون إلى دخول مجال الجرائم الإلكترونية. ويمكننا القول هنا أنه بناء على تحقيقنا في الهجوم الذي استهدف البنك السنغافوري توصلنا إلى أن المجرم الذي وقف وراء الهجوم لم يكن من القراصنة المحترفين، ونعتقد بأن معظم عملاء منصة  Adwind  لديهم المستوى ذاته من المعرفة بالكمبيوتر. وهذا الاتجاه في الواقع مثير للقلق."

وأشار فيتالي كاملوك، مدير فريق الأبحاث والتحليلات العالمي في كاسبرسكي لاب لمنطقة آسيا المحيط الهادىء بالقول، "على الرغم من التقارير المتعددة حول مختلف أجيال البرمجيات الخبيثة التي نشرت عن طريق بائعي الحلول الأمنية في السنوات الأخيرة، لاتزال هذه المنصة نشطة ويستخدمها  مجرمون من جميع الفئات. لقد قمنا بإجراء هذه الدراسة البحثية لجذب انتباه المختصين في مجال الأمن ووكالات إنفاذ القانون وكذلك لاتخاذ الخطوات اللازمة لمنعها والتصدي لها كلياً."

أبلغت كاسبرسكي لاب نتائج دراستها البحثية حول منصة Adwin  الخبيثة لوكالات إنفاذ القانون.

لحماية أنفسكم وحماية شركتكم ضد هذا التهديد، توصي كاسبرسكي لاب الشركات بإعادة النظر في الغرض من استخدام منصة Java  ومنع استخدامها من كافة المصادر غير المصرح لها.

اقرؤوا المزيد عن منصة  Adwind الخبيثة كخدمة الضارة على موقع:  Securelist.com

تعرفوا على كيفية التحقيق في الهجمات الموجهة على: http://www.youtube.com/watch?v=FzPYGRO9LsA

اقرأ المزيد عن هجمات التجسس الإلكتروني هنا: https://apt.securelist.com/.

Adwind: منصة البرمجية الخبيثة المتاحة كخدمة تغزو أكثر من 400 الف مستخدم وشركة عالمياً

أصدر فريق الأبحاث والتحليلات العالمي في كاسبرسكي لاب بحثاً موسعاً حول Adwind  : وسيلة الوصول عن بعد  (RAT)، وهي برمجية خبيثة متعددة المنصات والوظائف تعرف أيضاً باسم: AlienSpy و Frutas وUnrecom وSockrat و JSocket و jRat والتي يتم توزيعها من خلال منصة واحدة للبرمجية الخبيثة المتاحة كخدمة....
Kaspersky Logo