.jpg.webp)
.jpeg){kind=link}
أهلاً ومرحبا بكم من جديد زوار ومتابعي موقع وقنوات فايروس سفن إكس في موضوع جديد سوف نتطرق فيه إلي اخر الاخبار في عالم الفضاء الإلكتروني والهجمات السيبرانيه وحروب التجسس وهجمات الفديه الخبيثة.
الحروب بين الدول الان اصبحت حروب تقنيه، واخطر انواع الاسلحة الإلكترونية المستخدمة هذه الفترة هي فيروسات الفديه wanna crypto ، بالطبع جميعنا يعرف ان فيروس الفديه منتشر في كل مكان بأشكال وامتدادات لاتحصي ومن السهل جدا ان تتعرض للاختراق بإحدي انواع هذه الفيروسات ولكن لماذا تستهدف كوريا الشمالية هذا النوع من الهجمات بشكل كبير علي مر السنين..؟؟
بالطبع تدعم الحكومه الكوريه القراصنه لنشر برمجيات تجسس وفيروسات الفديه علي الانترنت لجمع اكبر قدر ممكن من العملات المشفره لدعم مشاريع الدوله وبرنامج الطاقة النووية وفالمقابل تدمير البنيه التحتيه للدول الاخري حتي تسيطر كوريا تقنيا علي الساحه ولكن وفق تقارير أمنية مكثفة يقال ان قراصنه كوريا الشمالية لايستخدمون عناوين IP من داخل كوريا، بل تستخدم عناوين IP لدول مختلفه مثل روسيا وايران واليابان والصين للتخفي والهروب من التتبع من الحكومات الاخري.
.jpeg)
ومؤخرا استهدفت القراصنة أمريكا بشكل مستمر كبري شركات الولايات المتحدة وقامت مؤخراً بنشر جهة تهديد تعمل مع مصالح متوافقة مع كوريا الشمالية امتدادا ضارا على متصفحات الويب المستندة إلى متصفح Chromium والتي يمكنها سرقة محتوى البريد الإلكتروني من Gmail و AOL.
كما عزت شركة الأمن السيبراني Volexity البرمجيات الخبيثة إلى مجموعة الأنشطة التي تسميها SharpTongue ، والتي يقال إنها تشارك التداخلات مع مجموعة معادية يشار إليها علنا باسم Kimsuky
ولدى SharpTongue تاريخ في تحديد الأفراد العاملين لمنظمات في الولايات
المتحدة وأوروبا وكوريا الجنوبية الذين "يعملون في مواضيع تتعلق بكوريا
الشمالية والقضايا النووية وأنظمة الأسلحة ومسائل أخرى ذات أهمية استراتيجية
لكوريا الشمالية.
وفقًا للباحثين Paul Rascagneres وتوماس لانكستر
إن استخدام Kimsuky للتمديدات المارقة في الهجمات ليس بالأمر الجديد،
ففي عام 2018 ، شاهد الممثل مكونا إضافياً لمتصفح Chrome كجزء من حملة كانت تسمى Stolen Pencil لإصابة الضحايا وسرقة ملفات تعريف الارتباط وكلمات المرور الخاصة بالمتصفح وبيانات الاعتماد.
إن استخدام Kimsuky للتمديدات المارقة في الهجمات ليس بالأمر الجديد،
ففي عام 2018 ، شاهد الممثل مكونا إضافياً لمتصفح Chrome كجزء من حملة كانت تسمى Stolen Pencil لإصابة الضحايا وسرقة ملفات تعريف الارتباط وكلمات المرور الخاصة بالمتصفح وبيانات الاعتماد.
حيث أنها تستخدم الامتداد المسمى Sharpext لسرقة بيانات البريد الإلكتروني حالياً من متصفح كروميوم وقد أشار الباحثون إلى أن "البرنامج الضار يفحص البيانات مباشرة ويخرجها من حساب بريد الويب الخاص بالضحية أثناء تصفحه له..!
|
كما تتضمن المتصفحات المستهدفة متصفحات Google Chrome و Microsoft Edge و Naver's Whale ، مع البرامج الضارة لسرقة البريد المصممة لجمع المعلومات من جلسات Gmail و AOL كالبريد الإلكتروني وكلمات المرور وملفات تعريف الارتباط وبيانات الاعتماد التي تسمح بتخطي عمليات التحقق بخطوتين التي تزعم جوجل انها اقوي طرق الحمايه التي توفرها حالياً.
كما يتم تثبيت البرمجيه الإضافية عن طريق استبدال ملفات التفضيلات والتفضيلات الآمنة في المتصفح بتلك البرمجيه المستلمة من خادم بعيد بعد اختراق ناجح لنظام Windows المستهدف والذي يقوم بتعطيل نفسه عندكا يصل الي البيانات المطلوبه وذلك لمنع الباحثين من تحليل الاثر او تتبع الخادم البعيد للقراصنة وهذه اساليب هجوميه تكتيكية جديده وعاليه الخطوره تسبب لاقوي شركات الأمن القومي الأمريكي مشاكل ليس لها حلول..!
وتتمكن الاداه ايضا من الوصول إلى لوحة DevTools داخل علامة التبويب النشطة لسرقة البريد الإلكتروني والمرفقات من صندوق بريد المستخدم مع اتخاذ خطوات في نفس الوقت لإخفاء أي رسائل تحذير حول تشغيل ملحقات وضع المطور..!!
وقال الباحثون: هذه هي المرة الأولى التي يلاحظ فيها Volexity استخدام ملحقات خبيثة للمتصفح كجزء من مرحلة ما بعد الاستغلال للتسوية من خلال سرقة بيانات البريد الإلكتروني في سياق جلسة المستخدم التي تم تسجيل دخولها بالفعل ، يتم إخفاء الهجوم عن مزود البريد الإلكتروني ، مما يجعل عملية الكشف صعبة ومعقده جدآ وصنفت هذه الاداه علي انها نسخه محدثه من طروادة تسمي كوني...
وفي الأسبوع الماضي قامت شركة الأمن السيبراني Securonix بتنفيذ حملة هجومية مستمرة تستغل أهدافا عالية القيمة ، بما في ذلك جمهورية التشيك وبولندا ودول أخرى كجزء من حملة تحمل الاسم الرمزي STIFF # BIZON لتوزيع برامج Konni الضارة علي نطاق واسع وذلك لزيادة عدد الضحايا.
بينما تشير التكتيكات والأدوات المستخدمة في عمليات الاقتحام إلى مجموعة قرصنة كورية شمالية تسمى APT37 ، تشير الأدلة التي تم جمعها المتعلقة بالبنية التحتية للهجوم إلى تورط ممثل APT28 المتحالف مع روسيا والمعروف أيضًا باسم Fancy Bear أو Sofacy.
وقال الباحثون: في النهاية ، ما يجعل هذه الحالة بالذات مثيرة للاهتمام هو استخدام برامج Konni الضارة جنبًا إلى جنب مع أوجه التشابه بين Tradecraft لـ APT28 ، مضيفين أنها قد تكون حالة مجموعة تتنكر في شكل مجموعة أخرى من أجل الخلط بين الإسناد والهروب من الاكتشاف.
وأخيراً وليس اخرا كان هذا موضوع اليوم اتمني ان تكونوا قد استفدتم منه وان لا تبخلوا علينا وعلي غيركم بالافاده من خلال مشاركة الموضوع مع أصدقائكم ليستفيد الجميع ولنستمر في نشر المزيد ، دمتم في امان الله والسلام عليكم ورحمه الله وبركاته.