التخطي إلى المحتوى الرئيسي

تزرع حملة SnatchCrypto الأبواب الخلفية في الشركات الناشئة المشفرة ، وشبكات DeFi ، وشبكات blockchain


تُستخدم البرامج الضارة للعثور على محافظ العملات المشفرة وإفراغها في المنظمات الضحية.







كشف باحثون عن حملة جديدة تركز على إفراغ محافظ العملات المشفرة للمؤسسات في المجالات المالية والعملات المشفرة.


قال باحثو كاسبرسكي ، الملقب بـ SnatchCrypto ، يوم الخميس إن الحملة هي من عمل BlueNoroff ، وهي مجموعة تهديد مستمر متقدم (APT) يشتبه في ارتباطها بـ Lazarus APT الأكبر.

Lazarus هي وحدة قرصنة كورية شمالية مرتبطة بالهجمات الإلكترونية ضد البنوك والخدمات المالية. تتخصص APT في عمليات الاختراق القائمة على SWIFT في دول مثل فيتنام وبنغلاديش وتايوان. إلى جانب Cobalt و FIN7 ، وصف Blueliv المجموعة مؤخرًا بأنها واحدة من أكبر التهديدات التي تواجهها شركات FinTech اليوم.

يقول الباحثون: "يبدو أن مجموعة [BlueNoroff] تعمل كوحدة داخل تشكيل أكبر من مهاجمي Lazarus ، مع القدرة على الاستفادة من مواردها الهائلة: سواء كانت عمليات زرع برمجيات خبيثة أو عمليات استغلال أو بنية تحتية".

وفقًا لـ Kaspersky ، نفذت BlueNoroff سلسلة من الهجمات ضد الشركات الصغيرة والمتوسطة الحجم المرتبطة بالعملات المشفرة والأصول الافتراضية و blockchain والعقود الذكية والتمويل اللامركزي (DeFI) والتقنية المالية بشكل عام.

يركز BlueNoroff على بناء الثقة وإساءة استخدامها للتسلل إلى شبكات الشركة. سواء كان ذلك يتعلق بالتواصل التجاري والمحادثات أو تقنيات الهندسة الاجتماعية الأوسع ، فإن APT تقضي الكثير من الوقت والجهد في التعرف على ضحاياها.

اعتبارًا من نوفمبر 2021 ، تقول Kaspersky إن المجموعة كانت "تطارد وتدرس" الشركات الناشئة في مجال العملات المشفرة. تهدف BlueNoroff إلى إنشاء "خرائط" للموضوعات الحالية التي تهم المنظمة المستهدفة ثم تستخدم هذه المعلومات كنقطة انطلاق لشن هجمات الهندسة الاجتماعية التي تبدو شرعية وجديرة بالثقة.

وأشار الباحثون إلى أن "BlueNoroff يضر بالشركات من خلال التحديد الدقيق للأشخاص الضروريين والمواضيع التي يناقشونها في وقت معين". "الوثيقة المرسلة من زميل إلى آخر حول موضوع ما ، والتي تجري مناقشتها حاليًا ، من غير المرجح أن تثير أي شك."

على سبيل المثال ، قد يتم إرسال بريد إلكتروني يتظاهر بأنه مستند مشترك مستضاف على Google Drive من "زميل" إلى موظف في شركة ناشئة. في عينة حصلت عليها Kaspersky ، تم إرسال إشعار في وقت فتح مستند الاعتراض.

في مثال آخر ، تم دفع رسالة بريد إلكتروني كأمر توجيه يبدو أنه قد تم إرساله من قبل زميل - مما قد يؤدي إلى زيادة الثقة حيث بدت الرسالة وكأنها قد تم التحقق منها بالفعل.

تنتحل APT أيضًا صفة الشركات الشرعية في رسائل البريد الإلكتروني المخادعة ، بما في ذلك Coinsquad و Emurgo و Youbi Capital و Sinovation Ventures.


يتم استخدام CVE-2017-0199 ، وهو خطأ في تنفيذ التعليمات البرمجية عن بُعد (RCE) ، لتشغيل برنامج نصي بعيد مرتبط بالمستندات الضارة. سيؤدي الاستغلال إلى جلب حمولة من عنوان URL مضمن في هذه الملفات ، ويتم أيضًا سحب قالب بعيد. عند دمجها ، تصبح الكائنات الثنائية المشفرة باستخدام base64 وماكرو VBA متاحًا ، ثم تُستخدم لإنشاء عملية لتصعيد الامتياز قبل تنفيذ الحمولة الرئيسية على النظام الهدف.

يقول كاسبيرسكي: "من المثير للاهتمام أن BlueNoroff يظهر تحسنًا في مستوى الأوبسيك في هذه المرحلة". "يقوم ماكرو VBA بعملية تنظيف عن طريق إزالة الكائنات الثنائية والإشارة إلى القالب البعيد من المستند الأصلي وحفظه في نفس الملف. يؤدي هذا بشكل أساسي إلى نزع سلاح المستند وترك المحققين في حيرة من أمرهم أثناء التحليل."

تشمل سلاسل الإصابة الأخرى التي تمت ملاحظتها استخدام ملفات اختصارات Windows المضغوطة أو مستندات Word الضارة التي تُستخدم لجلب حمولات المرحلة الثانوية.

في هذه المرحلة ، يتم استخدام وكيل PowerShell لنشر باب خلفي. البرنامج الضار قادر على الاتصال عن بعد بخادم الأوامر والتحكم (C2) الخاص بالمشغل ، ومعالجة العمليات والتسجيل ، وتنفيذ الأوامر ، وسرقة البيانات المخزنة بواسطة متصفح Chrome ، و Putty ، و WinSCP. بالإضافة إلى ذلك ، يمكن أيضًا تشغيل باب خلفي ثانوي ولوحة مفاتيح ولقطات لقطة شاشة على الجهاز.

الحمولة النهائية عبارة عن باب خلفي مخصص تمت رؤيته فقط في الهجمات التي نفذتها BlueNoroff. ستجمع هذه البرامج الضارة بيانات النظام والتكوين المتعلق ببرامج العملة المشفرة وستحاول التداخل بين المعاملات الناشئة عن محافظ الأجهزة.

وتجدر الإشارة بشكل خاص إلى أنه عندما يستخدم الضحايا امتدادات المتصفح لإدارة تشفيرهم ، فسيتم العبث بامتداد Metamask ، على سبيل المثال ، لمراقبة المعاملات والسماح للمهاجمين باختيار اللحظة المناسبة للإضراب.

شرح الباحثون كيف تحدث هذه الهجمات:


"عندما يقوم المستخدم المخترق بتحويل الأموال إلى حساب آخر ، يتم توقيع المعاملة على محفظة الأجهزة. ومع ذلك ، نظرًا لأن المستخدم بدأ الإجراء في الوقت المناسب جدًا ، لا يشك المستخدم في حدوث أي شيء مريب ويؤكد المعاملة على الجهاز الآمن دون الالتفات إلى تفاصيل المعاملة.

لا يشعر المستخدم بالقلق الشديد عندما يكون حجم الدفعة التي يُدخلها منخفضًا ويشعر أن الخطأ ضئيل. ومع ذلك ، لا يقوم المهاجمون بتعديل عنوان المستلم فحسب ، بل يقومون أيضًا بدفع مبلغ العملة إلى الحد الأقصى ، مما يؤدي بشكل أساسي إلى استنزاف الحساب في خطوة واحدة ".

تم تتبع الضحايا إلى روسيا وبولندا والولايات المتحدة وهونغ كونغ وسنغافورة والصين ودول أخرى.

المشاركات الشائعة من هذه المدونة

دعنا نذهب فيديو: الاتصال بصريا

يعد الفيديو وسيلة ميسورة التكلفة لزيادة المبيعات والتواصل مع الفرق ودعم العملاء وتدريب الموظفين. أظهر العامان الماضيان مدى أهمية الفيديو بالنسبة للشركات الصغيرة. سرّع جائحة COVID من تبني الأعمال للفيديو ، سواء من أجل التعاون أو الاتصالات الخارجية. بالنسبة للعديد من الشركات ، يعد الفيديو أيضًا أداة للبحث عن العملاء المحتملين في جميع أنحاء العالم وتسويقهم وتقديمهم والالتقاء بهم. على نحو متزايد ، تقوم الشركات بتنفيذ الفيديو لدعم مبادرات العمل عن بعد. تقدر مؤسسة جارتنر أن 31٪ من جميع العاملين في جميع أنحاء العالم سيكونون عن بُعد هذا العام ، وهو رقم يشمل أولئك الذين يعملون بجدول زمني هجين أو بعيد تمامًا. سيكون لدى الولايات المتحدة أكبر نسبة من العمال عن بعد في عام 2022 ، حيث ستشكل 53٪ من القوة العاملة. القدرة على دعم الفيديو الفيديو عنصر حاسم في العمل عن بعد. هناك شيء مميز حول مشاركة الاتصال المرئي مع زملاء العمل ، وغالبًا ما يحفز الإبداع والتعاون. يمكنك رؤية تفاعل الأشخاص في الوقت الفعلي ، دون الحاجة إلى التردد أو محاولة قراءة "نغمة" البريد الإلكتروني. بالإضافة إلى ذلك ، يمكن مق

لا يزال هجوم برامج الفدية على FinalSite يعطل خدمات البريد الإلكتروني في آلاف المدارس

أوصت الشركة العملاء بالحد من استخدام البرامج لتحديثات المعلومات الهامة صباح يوم الجمعة حيث سعت المدارس إلى مراسلة أولياء الأمور حول COVID والإغلاق المرتبط بالثلوج. لا تزال شركة FinalSite لتكنولوجيا التعليم في طور التعافي من هجوم فدية مدمر أدى إلى شل العديد من الخدمات التي تقدمها لآلاف المدارس في جميع أنحاء العالم هذا الأسبوع. في تحديث صباح يوم الجمعة ، قالت الشركة إن "الغالبية العظمى" من مواقعها تعمل على الواجهة الأمامية ، لكن العديد من الأنظمة لا تزال تواجه مجموعة متنوعة من المشكلات. وحثوا عملاءهم - الذين يشملون آلاف المدارس في 115 دولة مختلفة - على تقييد "استخدام البرامج لتحديثات المعلومات الهامة للواجهة الأمامية" حتى يتأكدوا من أن جميع الوظائف تعمل بشكل كامل. وقالت الشركة: "تشمل أمثلة الاستخدام التي يجب تجنبها إرسال بريد إلكتروني / إشعارات ، ومهام سير العمل ، والاعتماد على التقويم والتنبيهات الرياضية ، وتحميل البيانات وما إلى ذلك". أثناء عودة بعض أنظمة الواجهة الأمامية ، قال موقع FinalSite إن بعض التصميم قد يكون مفقودًا ، وقد لا يتمكن المستخدمون من الو

Samsung Galaxy S22 مقابل iPhone 13: دعنا نقارن الأرقام

الرائد الجديد الأكثر ملاءمةً للميزانية من Samsung وعروضه متوسطة المدى تتماشى مع نظيرتها التي تعمل بنظام iOS لمعرفة ما إذا كانت Apple أو Samsung ستسودان الصدارة في أوائل عام 2022 في ذلك الوقت من السنة مرة أخرى. لقد انتهينا جميعًا من التعافي من العطلات ، والحب في الأجواء مع اقتراب عيد الحب ، وتطلق Samsung أحدث وأكبر الإدخالات في خط Galaxy S الرئيسي . هذه المرة ، تقدم الشركة بعضًا من أفضل كاميراتها على الإطلاق ، وتقليل مطبات الكاميرا ، وشحن أسرع ، من بين تحسينات أخرى. في حين أن المقارنة الأكثر منطقية بين هاتفي Galaxy S22 و Galaxy S22 + الجديدتين قد تكون عبارة عن تشكيلة تفاح إلى تفاح مقابل برامج Android الرئيسية الأخرى ، سنفعل شيئًا مختلفًا قليلاً هنا ونقارن بين هذه التفاحات ، حسناً ، Apple. على وجه التحديد ، iPhone 13. ستساعد هذه المقارنة جنبًا إلى جنب هؤلاء المتسوقين الذين ما زالوا على الحياد حول ما إذا كانوا يريدون الانضمام إلى فريق Blue Bubble أو فريق Green Bubble من خلال وضع مواصفات Samsung Galaxy S22 و Galaxy S22 + جنبًا إلى جنب مع أقرب نظيرتها التي تعمل بنظام iOS. بالطبع ، الاختلافا