وجد خبراؤنا بابًا خلفيًا جديدًا يستخدمه مجرمو الإنترنت بالفعل في الهجمات المستهدفة. يتشابه الباب الخلفي، المسمى توميريس (Tomiris)، في عدد من الطرق مع Sunshuttle (المعروف أيضًا باسم GoldMax)، وهو برنامج ضار استخدمه DarkHalo (المعروف أيضًا باسم Nobelium) في هجوم سلسلة التوريد ضد عملاء SolarWinds.
قدرات توميريس (Tomiris)
تتمثل المهمة الأساسية لـ الباب الخلفي توميريس (Tomiris) في تقديم برامج ضارة إضافية إلى جهاز الضحية. إنه على اتصال دائم بخادم القيادة والتحكم لمجرمي الإنترنت ويقوم بتنزيل الملفات القابلة للتنفيذ، والتي يتم تشغيلها باستخدام الوسائط المحددة، من هناك.
وجد خبراؤنا أيضًا متغيرًا لسرقة الملفات. البرامج الضارة التي تم تحديدها مؤخرًا أنشأت ملفات ذات ملحقات معينة (.doc، .docx، .pdf، .rar، وغيرها)، ثم تم تحميلها على خادم القيادة والتحكم.
قام منشئو الباب الخلفي بتزويده بخاصيات مختلفة لخداع تقنيات الأمان وتضليل المحققين. على سبيل المثال، عند التسليم، لا تفعل البرامج الضارة شيئًا لمدة 9 دقائق، ومن المرجح أن يخدع أي تأخير أي آليات حماية قائمة على ساند بوكس (sandbox). علاوة على ذلك، لم يتم تشفير عنوان خادم القيادة والتحكم مباشرةً داخل توميريس (Tomiris) – تأتي معلومات عنوان محدد موقع الموارد الموحد (URL) والمنفذ من خادم إشارات.
كيف يدخل توميريس (Tomiris) على أجهزة الكمبيوتر
لتسليم الباب الخلفي، يستخدم مجرمو الإنترنت اختطاف نظام أسماء النطاقات (DNS hijacking) من أجل إعادة توجيه حركة المرور من خوادم بريد المؤسسات المستهدفة إلى مواقعهم الضارة (ربما عن طريق الحصول على بيانات اعتماد لوحة التحكم على موقع مسجل اسم النطاق). بهذه الطريقة، يمكنهم جذب العملاء إلى صفحة تشبه صفحة تسجيل الدخول لخدمة البريد الحقيقي. بطبيعة الحال، عندما يقوم شخص ما بإدخال بيانات الاعتماد على الصفحة المزيفة، فإن المخترقين يحصلون على بيانات الاعتماد هذه على الفور.
بالطبع، تطلب المواقع أحيانًا من المستخدمين تثبيت تحديث أمني للعمل. في هذه الحالة، كان التحديث في الواقع أداة تنزيل لـ توميريس (Tomiris).
لمزيد من التفاصيل الفنية حول الباب الخلفي (Tomiris)، جنبًا إلى جنب مع مؤشرات التسوية والروابط الملحوظة بين أدوات توميريس (Tomiris) وDarkHalo، راجع قائمتنا الأمنية.
كيف تحافظ على سلامتك
لن تعمل طريقة توصيل البرامج الضارة التي وصفناها أعلاه إذا كان الكمبيوتر الذي يصل إلى واجهة بريد الويب محميًا بواسطة حل أمني قوي . بالإضافة إلى ذلك، يمكن اكتشاف أي نشاط ينفذه مشغلو التهديدات المستمرة المتقدمة (APT) في شبكة الشركة بمساعدة الخبراء الذين يقومون بتشغيل Kaspersky Managed Detection and Response .