تمكن خبراء Kaspersky من تحديد إصدار بوظائف جديدة من برنامج Janicab الضار ، والذي تستخدمه عصابة DeathStalker ، المتخصصة في التهديدات المستمرة المتقدمة ، للتسلل إلى مؤسسات معينة في عدة قطاعات. تم الكشف عن الإصدار الجديد في مناطق في أوروبا والشرق الأوسط ، وتبين أنه يستغل بعض خدمات الويب الرسمية ، مثل YouTube YouTube ، ضمن سلسلة الإصابة.
وبحسب موقع “البيان” ، فإن الإصابة ببرنامج جانيكاب ، على سبيل المثال ، يمكن أن تؤدي إلى تحديات لوجستية وقانونية مستهدفة ، وتحسين مكانة المنافسين ، وعمليات تدقيق مفاجئة قد تكشف عن تحيزات وتجاوزات في استخدام الملكية الفكرية ، مما يجعل تختلف أضرارها عن الأضرار التقليدية التي تسببها الهجمات. مثل الابتزاز الرقمي أو برامج الفدية.
يمكن حساب Janicab كبرنامج ضار نمطي مكتوب بلغة مفسرة ، مما يعني أن المهاجم قادر على إضافة وظائف أو تضمين ملفات ، أو إزالتها بجهد ضئيل. وكان واضحًا من قراءات Kaspersky عن بُعد أن أحدث إصدارات Janicab شهدت تغييرات كبيرة في بنيتها الهيكلية ، مع نسخ أرشيفية تحتوي على العديد من الملفات المكتوبة بلغة Python ، وأجزاء أخرى مستخدمة لاحقًا في الاختراق ، على الرغم من أن آلية التسليم لا تزال تعتمد على التصيد الاحتيالي . بمجرد خداع الضحية وفتح الملف الضار ، يتم تحميل سلسلة من الملفات الخبيثة على التوالي إلى النظام.
تتمثل إحدى الميزات المميزة لبرنامج DeathStalker في استخدامه لخدمات DDR ، أو خدمات الويب ، لاستضافة سلسلة مشفرة يتم فك تشفيرها لاحقًا بواسطة غرسة برامج ضارة. وفقًا لتقرير جديد ، تمكنت Kaspersky من تحديد استخدام روابط YouTube القديمة في عمليات التطفل التي حدثت في عام 2021. وتمكنت العصابة من العمل بشكل سري واستخدمت بنية القيادة والتحكم بشكل متكرر ، نظرًا لصعوبة العثور على شبكة ويب غير مدرجة الروابط.
تضمنت الشركات المتضررة التي تقع ضمن المجال التقليدي لـ DeathStalker في الأساس شركات قانونية ومالية واستثمارية. ومع ذلك ، سجلت Kaspersky أيضًا نشاطًا يستهدف وكالات السفر. وعدت أوروبا والشرق الأوسط بمناطق عمل مثالية للعصابة ، ولكن بدرجات متفاوتة بين دول المنطقتين.
قال الدكتور أمين حسيبيني ، رئيس مركز الأبحاث للشرق الأوسط وتركيا وإفريقيا في فريق البحث والتحليل العالمي في Kaspersky ، إنه يمكن الافتراض بأمان أن الأهداف الرئيسية لعصابة DeathStalker هي سرقة المعلومات السرية المتعلقة بـ النزاعات القانونية المتعلقة بكبار الشخصيات والأصول المالية الكبيرة ، فضلاً عن المعلومات التجارية التي تؤثر على القدرة التنافسية والمعلومات حول عمليات الدمج والاستحواذ ، نظرًا لأن المؤسسات القانونية والمالية “هدف مشترك لهذه العصابة”. وأضاف: “يجب على المنظمات العاملة في هذه القطاعات الاستعداد لمثل هذه الانتهاكات وتحديث نماذج التهديد الخاصة بها لضمان بقاء البيانات آمنة”.
يجب أن تعتمد المنظمات المتأثرة على القائمة البيضاء للتطبيق وتصلب نظام التشغيل كطرق فعالة لمنع محاولات التطفل ، نظرًا لاستمرار العصابة في استخدام البرامج الضارة القائمة على اللغة مثل Python و VBE و VBS في محاولات القرصنة الأخيرة. يجب على وكالات الأمان أيضًا البحث عن إجراءات متصفح Internet Explorer التي تعمل بدون واجهة مستخدم ، نظرًا لأن Janicab يستخدم المتصفح في وضع التخفي للتواصل مع البنية التحتية للقيادة والتحكم.
