قراصنة TA505 يستخدمون لوحة TeslaGun لإدارة هجمات ....

قراصنة TA505

قدم باحثو الأمن السيبراني نظرة ثاقبة على لوحة تحكم برمجية غير موثقة سابقًا تستخدمها مجموعة تهديد ذات دوافع مالية تُعرف باسم  TA505

وقالت شركة برودافت للأمن السيبراني السويسرية في تقرير تمت مشاركته مع موقع The Hacker News: “تقوم المجموعة بشكل متكرر بتغيير استراتيجيات هجوم البرمجيات الخبيثة استجابة لاتجاهات الجرائم الإلكترونية العالمية”. “تتبنى بشكل انتهازي تقنيات جديدة من أجل كسب النفوذ على الضحايا قبل أن تنتشر صناعة الأمن السيبراني الأوسع.”

تم تتبع TA505 أيضًا تحت أسماء Evil Corp و Gold Drake و Dudear و Indrik Spider و SectorJ04 ، وهي عبارة عن نقابة جرائم الإنترنت الروسية العدوانية وراء حصان طروادة المصرفي الشهير Dridex والذي تم ربطه بعدد من حملات الفدية في السنوات الأخيرة.

يُقال أيضًا أنه مرتبط بهجمات Raspberry Robin التي ظهرت في سبتمبر 2021 ، مع الكشف عن أوجه تشابه بين البرنامج الضار و Dridex.

تشمل عائلات البرامج الضارة الأخرى المرتبطة بالمجموعة FlawedAmmyy و Neutrino botnet وباب خلفي يحمل الاسم الرمزي ServHelper ، وهو أحد المتغيرات القادرة على تنزيل حصان طروادة للوصول عن بعد يسمى FlawedGrace.  يُقال إن لوحة التحكم ، المسماة TeslaGun ، يستخدمها الخصم لإدارة غرسة ServHelper ، حيث تعمل كإطار عمل للقيادة والتحكم (C2) للسيطرة على الأجهزة المخترقة.  بالإضافة إلى ذلك ، توفر اللوحة القدرة للمهاجمين على إصدار أوامر ، ناهيك عن إرسال أمر واحد إلى جميع الأجهزة الضحية قيد التشغيل أو تكوين اللوحة بحيث يتم تشغيل أمر محدد مسبقًا تلقائيًا عند إضافة ضحية جديدة إلى اللوحة.  قال الباحثون: “تتميز لوحة TeslaGun بتصميم عملي وبسيط. تحتوي لوحة القيادة الرئيسية فقط على بيانات الضحايا المصابة ، وقسم تعليق عام لكل ضحية ، والعديد من الخيارات لتصفية سجلات الضحايا”.  بصرف النظر عن استخدام اللوحة ، من المعروف أيضًا أن الجهات الفاعلة في التهديد تستخدم أداة بروتوكول سطح المكتب البعيد (RDP) للاتصال يدويًا بالأنظمة المستهدفة عبر أنفاق RDP.


قراصنة TA505

تشمل عائلات البرامج الضارة الأخرى المرتبطة بالمجموعة FlawedAmmyy و Neutrino botnet وباب خلفي يحمل الاسم الرمزي ServHelper ، وهو أحد المتغيرات القادرة على تنزيل حصان طروادة للوصول عن بعد يسمى FlawedGrace.

يُقال إن لوحة التحكم ، المسماة TeslaGun ، يستخدمها الخصم لإدارة غرسة ServHelper ، حيث تعمل كإطار عمل للقيادة والتحكم (C2) للسيطرة على الأجهزة المخترقة.

بالإضافة إلى ذلك ، توفر اللوحة القدرة للمهاجمين على إصدار أوامر ، ناهيك عن إرسال أمر واحد إلى جميع الأجهزة الضحية قيد التشغيل أو تكوين اللوحة بحيث يتم تشغيل أمر محدد مسبقًا تلقائيًا عند إضافة ضحية جديدة إلى اللوحة.

قال الباحثون: “تتميز لوحة TeslaGun بتصميم عملي وبسيط. تحتوي لوحة القيادة الرئيسية فقط على بيانات الضحايا المصابة ، وقسم تعليق عام لكل ضحية ، والعديد من الخيارات لتصفية سجلات الضحايا”.

بصرف النظر عن استخدام اللوحة ، من المعروف أيضًا أن الجهات الفاعلة في التهديد تستخدم أداة بروتوكول سطح المكتب البعيد (RDP) للاتصال يدويًا بالأنظمة المستهدفة عبر أنفاق RDP.

قراصنة TA505 يستخدمون لوحة TeslaGun لإدارة هجمات ServHelper Backdoor

يُظهر تحليل PRODAFT لبيانات ضحايا TeslaGun أن حملات التصيد الاحتيالي والحملات المستهدفة للمجموعة قد وصلت إلى ما لا يقل عن 8160 هدفًا منذ يوليو 2020. وتقع غالبية هؤلاء الضحايا في الولايات المتحدة (3667) ، تليها روسيا (647) ، والبرازيل (483) ، رومانيا (444) والمملكة المتحدة (359).

وأشار الباحثون ، مستشهدين بالتعليقات التي قدمتها مجموعة الخصومة في لوحة TeslaGun: “من الواضح أن TA505 يبحث بنشاط عن مستخدمي الخدمات المصرفية عبر الإنترنت أو التجزئة ، بما في ذلك محافظ العملات المشفرة وحسابات التجارة الإلكترونية”.

تأتي النتائج أيضًا في الوقت الذي حذرت فيه وزارة الصحة والخدمات الإنسانية الأمريكية (HHS) من التهديدات الكبيرة التي تشكلها المجموعة على القطاع الصحي من خلال هجمات اختراق البيانات التي تهدف إلى سرقة الملكية الفكرية وعمليات برامج الفدية.

وقال مركز تنسيق الأمن السيبراني لقطاع الصحة التابع للوكالة في تقرير استشاري نُشر في أواخر الشهر الماضي: “تمتلك Evil Corp مجموعة واسعة من الأدوات عالية القدرة تحت تصرفها”.

“يتم تطويرها وصيانتها داخليًا ، ولكن غالبًا ما يتم استخدامها بالاقتران مع البرامج الضارة للسلع ، وتقنيات العيش خارج الأرض ، وأدوات الأمان الشائعة التي تم تصميمها لإجراء تقييمات أمنية مشروعة وقانونية.”

Mo2a
Mo2a
تعليقات