التهديد المتقدم المستمر
أعاد خبراؤنا من فريق الأبحاث والتحليل العالمي (GReAT) في Kaspersky بناء سلسلة الإصابة المستخدمة في هجمات مجموعة التهديد المتقدم المستمر المعروفة باسم ForumTroll. وخلال تحقيقهم، اكتشفوا أن الأدوات التي استخدمتها ForumTroll استُخدمت أيضًا لتوزيع البرنامج الضار التجاري المسمى Dante. وقدم بوريس لارين عرضًا تفصيليًا عن هذا البحث في مؤتمر Security Analyst Summit 2025 في تايلاند.
ما هي مجموعة التهديد المتقدم المستمر المعروفة باسم ForumTroll ، وكيف تعمل؟
في شهر مارس، اكتشفت تقنياتنا موجة من الإصابات التي استهدفت الشركات الروسية ببرنامج ضار متطور وغير معروف سابقًا. واستخدمت الهجمات صفحات ويب قصيرة العمر استغلت الثغرة الأمنية CVE-2025-2783 في Google Chrome. وأرسل المهاجمون رسائل بريد إلكتروني إلى موظفين في مؤسسات إعلامية وحكومية وتعليمية ومالية في روسيا، يدعونهم للمشاركة في منتدى “Primakov Readings” (قراءات بريماكوف) العلمي والخبراء، ولهذا السبب أُطلِق على الحملة الاسم الجذاب “Forum Troll” وسُمّيت المجموعة التي تقف وراءها باسم ForumTroll. وعند النقر على الرابط الموجود في البريد الإلكتروني، أُصيب الجهاز بالبرنامج الضار. وأطلق على البرنامج الضار الذي استخدمه المهاجمون اسم LeetAgent لأنه كان يتلقى الأوامر من خادم التحكم بتهجئة معدلة على طريقة Leet.
بعد النشر الأولي، واصل خبراء GReAT التحقيق في نشاط مجموعة ForumTroll. وعلى وجه الخصوص، اكتشفوا العديد من الهجمات التي شنتها المجموعة نفسها ضد مؤسسات وأفراد في كل من روسيا وبيلاروسيا. بالإضافة إلى ذلك، أثناء البحث عن الهجمات التي استخدمت LeetAgent، اكتشفوا حالات استُخدمت فيها برامج ضارة أخرى أكثر تعقيدًا بكثير.
ما هو Dante وما علاقة HackingTeam به؟
كان البرنامج الضار المكتشف يمتلك بنية معيارية، تستخدم تشفير الوحدات بمفاتيح فريدة لكل ضحية، وتدمّر نفسها ذاتيًا بعد فترة زمنية معينة إذا لم تتلقَ أوامر من خادم التحكم. لكن الأمر الأكثر إثارة للاهتمام هو أن باحثينا تمكنوا من تحديدها كبرنامج تجسس تجاري يُسمى Dante، طوّرته الشركة الإيطالية Memento Labs، المعروفة سابقًا باسم Hacking Team.
كانت HackingTeam أحد رواد برامج التجسس التجارية. لكن في عام 2015، تعرضت البنية التحتية للشركة للاختراق وتم نشر جزء كبير من وثائقها الداخلية على الإنترنت، بما في ذلك التعليمات البرمجية المصدرية الخاصة ببرامج التجسس التجارية. وبعد ذلك، تم بيع الشركة وتغيير اسمها إلى Memento Labs.
يمكنك قراءة المزيد حول ما يمكن أن يفعله البرنامج الضار Dante، وكيف اكتشف خبراؤنا أنه كان برنامج Dante بالفعل في مقالتنا على مدونة Securelist. ويمكنك أيضًا العثور على مؤشرات الاختراق المقابلة هناك.
كيفية الحفاظ على أمانك
في البداية، تم اكتشاف الهجمات التي تستخدم LeetAgent بواسطة حل XDR (الاكتشاف والاستجابة الموسعة) الخاص بنا. بالإضافة إلى ذلك، ستتوفر تفاصيل هذا البحث، بالإضافة إلى المعلومات التي سنتوصل إليها مستقبلاً عن مجموعة ForumTroll وبرنامج التجسس Dante، لمشتركي خدمة بيانات التهديدات APT الخاصة بنا على Threat Intelligence Portal (بوابة معلومات التهديدات).
