أهلا ومرحباً بكم من جديد زوار ومتابعي موقع وقنوات فايروس سفن إكس في موضوع
جديد سوف نتطرق فيه إلي اخر الاخبار في عالم الفضاء الإلكتروني والهجمات
السيبرانيه والتقنيه واساليب الاختراق الحديثة حيث ظهرت برمجية إختـراق جديدة
صينية تشبه Cobalt Strike ويطلق عليها اسم "Manjusaka".
سبب انتشار وظهور البرمجية هو عندما تمكن الباحثون من الكشف عن إطار هجومي
جديد يسمى مانجوساكا يسمونه "شقيق صيني
لضربة الشظية والكوبالت".
يعتبر إصدار كامل الوظائف من الأمر والتحكم عن بعد مع التحكم الكامل في جهاز
الهدف (C2) ، تم برمجته بلغة Golang بواجهة مستخدم باللغة الصينية المبسطة ،
كما انه متاح مجانًا ويمكنه إنشاء غرسات او
تروجان او باكدور جديد بتكوينات مخصصة بكل سهولة ، مما يزيد من احتمالية اعتماد
هذا الإطار على نطاق أوسع وقد قال باحثين سيسكو تالوس في تقرير جديد.
إن Sliver و Cobalt Strike هي إطارات عمل إختـراق شرعية للعدو تم إعادة
تطويرها من قبل بعض المطورين والهاكرز في التهديد للقيام بأنشطة ما بعد
الاستغلال مثل فحص واستطلاع الشبكة ، والحركة الجانبية ، وتسهيل نشر حمولات
وملفات التجسس التابعة.
البرمجية الجديدة مكتوبه بلغة Rust ، ويعلن عنها اسم Manjusaka ، وتعني
بالمعني "زهرة البقر" وهي تكافئ إطار عمل Cobalt Strike الشهير ومع إمكانات
لاستهداف أنظمة تشغيل Windows و Linux، كما يعتقد أن مطورها يقع في منطقة
GuangDong في الصين.
كما اشار الباحثون إلى أن الاداه تتكون من عدد كبير من إمكانيات الوصول عن بعد
إلى طروادة (RAT) التي تتضمن بعض الوظائف القياسية ووحدة مخصصة لإدارة
الملفات.
تتضمن بعض الميزات المدعومة تنفيذ أوامر عشوائية ، وجمع بيانات اعتماد المتصفح
من Google Chrome ، و Microsoft Edge ، و Qihoo 360 ، و Tencent QQ Browser ، و
Opera ، و Brave ، و Vivaldi ، وحتي جمع كلمات مرور Wi-Fi ، والتقاط لقطات شاشة ،
والحصول على معلومات شاملة عن النظام.
إنه مصمم أيضا لإطلاق وحدة إدارة الملفات لتنفيذ مجموعة واسعة من الأنشطة مثل
تعداد الملفات وكذلك إدارة الملفات والأدلة على النظام المخترق!.
ومن ناحية أخرى لا يتضمن متغير ELF للباب الخلفي Backdoor ، مع تضمين معظم الوظائف
كنظيره في Windows ، هذا يعني ان له القدرة على جمع بيانات الاعتماد من المتصفحات المستندة إلى
Chromium وجمع كلمات مرور تسجيل الدخول إلى Wi-Fi.
أيضًا جزء من إطار عمل اللغة الصينية هو خادم C2 قابل للتنفيذ يعرف بـ Remote Access Control يتم ترميزه في
Golang ومتوفر على GitHub يمكنك الإطلاع عليه من خلال الرابط التالي:
والمكون الثالث هو لوحة تحكم مبنية على إطار عمل ويب Gin والتي تمكن المشغل من
إنشاء إصدارات مخصصة من استغلالات Rust.
تم تصميم ثنائي الخادم من جانبه لمراقبة وإدارة نقطة نهاية مصابة بالإضافة إلى
إنشاء استغلالات Rust المناسبة اعتمادا على نظام التشغيل وإصدار الأوامر
اللازمة للتعامل معه.
ومع ذلك ، تشير سلسلة الأدلة إلى أنها إما قيد التطوير النشط أو أن مكوناتها
تقدم إلى جهات فاعلة أخرى كخدمة يتم تطويرها لاحقا بعد الانتشار.
كما إن الاكتشاف أثناء التحقيق في سلسلة عدوى مالدوك التي تستفيد من إغراءات
C.O.V-ID-19 في الصين لتقديم منارات Cobalt Strike على الأنظمة المصابة ،
مضيفاً أن الفاعل المجهول الذي يقف وراء الحملة استخدم أيضا عمليات الزرع من إطار Manjusaka في الساحه.
وصلت النتائج بعد أسابيع من اكتشاف أن الجهات الخبيثة قد شوهدت تسيء استخدام
برنامج محاكاة خصم شرعي آخر يسمى Brute Ratel (BRc4) في هجماتهم في محاولة
للبقاء تحت الرادار والتهرب من الاكتشاف.
وقال الباحثون أيضاً: إن توفر إطار عمل مانجوساكا الصيني الهجومي في الساحه هو مؤشر على شعبية
التقنيات الهجومية المتاحة على نطاق واسع مع كل من مشغلي البرمجيات الجنائية و
APT.
ويحتوي إطار عمل الهجوم الجديد هذا على جميع الميزات التي يتوقعها المرء من
الحمولة ، ومع ذلك ، فهو مكتوب بأحدث لغات البرمجة المحمولة أيضاً ويمكن لمطور
إطار العمل دمج الأنظمة الأساسية المستهدفة الجديدة بسهولة مثل MacOSX أو نكهات
أكثر غرابة من Linux مثل تلك التي تعمل على الأجهزة المضمنة وهذا يعني ان
البرمجية ستتطور بشكل كبير في الفتره القادمه.
وأخيراً وليس اخرا كان هذا موضوع اليوم اتمني ان تكونوا قد استفدتم منه وان لا
تبخلوا علينا وعلي غيركم بالافاده من خلال مشاركة الموضوع مع أصدقائكم ليستفيد
الجميع ولنستمر في نشر المزيد من هذه المواضيع ، دمتم في امان الله والسلام
عليكم ورحمه الله وبركاته.