كاسبرسكي تكشف عن حملة خبيثة تستهدف الشركات عبر إصدار مزيف من ChatGPT
اكتشف فريق البحث والتحليل العالمي (GReAT) التابع لـ Kaspersky حملة خبيثة جديدة تشتمل على فيروس PipeMagic Trojan الذي انتشر من شركات في آسيا إلى مؤسسات في المملكة العربية السعودية. يستخدم المهاجمون نسخة مزيفة من ChatGPT كطعم وينشرون بابًا خلفيًا يستخرج البيانات الحساسة ويسمح بالوصول الكامل عن بعد إلى الأجهزة المخترقة. تعمل هذه البرامج الضارة أيضًا كبوابة، مما يسمح بإدخال برامج ضارة إضافية وتنفيذ المزيد من الهجمات عبر شبكة الشركة. اكتشف Kaspersky الباب الخلفي PipeMagic لأول مرة في عام 2022. وفي ذلك الوقت، كان عبارة عن حصان طروادة يدعم المكونات الإضافية ويستهدف الشركات في آسيا. يمكن للبرنامج أيضًا أن يعمل كباب خلفي وبوابة عبور. في سبتمبر 2024، لاحظ فريق GReAT في Kaspersky العودة المتجددة لنشاط PipeMagic، وهذه المرة ضد مؤسسات في المملكة العربية السعودية. يستخدم هذا الإصدار من الباب الخلفي تطبيق ChatGPT مزيفًا تم إنشاؤه باستخدام لغة برمجة Rust. للوهلة الأولى، يبدو التطبيق شرعيًا لأنه يحتوي على العديد من مكتبات Rust المشهورة والتي يتم استخدامها في العديد من التطبيقات الأخرى المعتمدة على لغة البرمجة هذه. ومع ذلك، عند تنفيذه، يعرض التطبيق شاشة فارغة بدون واجهة مرئية ويخفي خلفها مجموعة من البيانات المشفرة تبلغ 105615 بايت والتي تعد في الواقع حمولات ضارة. في المرحلة الثانية، تبدأ البرامج الضارة في البحث عن وظائف Windows API الرئيسية من خلال البحث في إزاحات الذاكرة المقابلة باستخدام خوارزمية تجزئة الاسم. ثم يقوم بعد ذلك بتخصيص موارد الذاكرة، وتحميل الباب الخلفي PipeMagic، وضبط الإعدادات الضرورية، وتنفيذ البرامج الضارة.
إحدى ميزات PipeMagic الفريدة هي أنها تنشئ مصفوفة عشوائية مكونة من 16 بايت لإنشاء دفق مسمى بتنسيق format. pipe.<سلسلة سداسية عشرية>. فهو ينشئ مسارًا ينشئ هذا الدفق باستمرار، ويقرأ البيانات منه، ثم يدمره. يُستخدم هذا الدفق لاستقبال الحمولات المشفرة وإشارات التوقف عبر الواجهة المحلية الافتراضية. يتم تشغيل PipeMagic عادةً مع مجموعة من المكونات الإضافية التي تم تنزيلها من خادم الأوامر والتحكم (C2)، والتي تتم استضافتها هذه المرة في سحابة Microsoft Azure.
وعلق سيرجي لوجكين، كبير الباحثين الأمنيين في فريق GREAT التابع لشركة كاسبرسكي، قائلاً: “يعمل مجرمو الإنترنت باستمرار على تطوير استراتيجياتهم للوصول إلى المزيد من الضحايا وتوسيع نطاق وصولهم، كما يتضح من الانتشار الأخير لفيروس طروادة PipeMagic من آسيا إلى المملكة العربية السعودية”. ونظرًا لقدراته، نتوقع أن نرى زيادة في الهجمات التي تستغل هذا الباب الخلفي. لتجنب الوقوع ضحية لهجوم من مصدر تهديد معروف أو غير معروف، يوصي باحثو كاسبرسكي باتخاذ الإجراءات التالية: كن حذرًا عند تنزيل البرامج من الإنترنت، خاصة إذا كانت تأتي من موقع ويب تابع لجهة خارجية. حاول دائمًا تنزيل البرنامج من الموقع الرسمي للشركة أو الخدمة التي تستخدمها. امنح فريق مركز العمليات الأمنية (SOC) الخاص بك إمكانية الوصول إلى أحدث معلومات التهديدات (TI). تعد بوابة Kaspersky Threat Intelligence Portal نقطة وصول مركزية إلى معلومات التهديدات من Kaspersky، حيث توفر بيانات ورؤى حول الهجمات الإلكترونية التي جمعتها الشركة على مدار أكثر من 20 عامًا. قم بتحسين مهارات فريق الأمن السيبراني الخاص بك لمكافحة أحدث الهجمات المستهدفة باستخدام خدمة التدريب عبر الإنترنت من Kaspersky، والتي طورها خبراء من فريق GReAT. استخدم حلول الكشف عن نقاط النهاية والاستجابة لها (EDR) مثل Kaspersky Next للكشف عن الحوادث على مستوى نقطة النهاية والتحقيق فيها والاستجابة لها بسرعة. بالإضافة إلى الحماية الأساسية لنقطة النهاية، يمكنك تنفيذ حل أمني على مستوى المؤسسات يمكنه اكتشاف التهديدات المتقدمة على مستوى الشبكة مبكرًا، مثل: ب. منصة Kaspersky Anti Targeted Attack. نظرًا لأن العديد من الهجمات المستهدفة تبدأ بالتصيد الاحتيالي أو تقنيات الهندسة الاجتماعية الأخرى، فقم بتنفيذ تدريب للتوعية الأمنية وتزويد فريقك بالمهارات العملية.