ثومبي
Connection network in dark servers data center room storage systems 3D rendering

النحلة الطنانة أحدث أنواع البرمجيات الخبيثة

وجدت بالو ألتو نتوركس أنه تم زرع أداة  النحلة الطنانة كذلك الأمر على خادم الإنترنت

 

 في الشبكة المخترقة ذاتها المرتبطة بخادم البريد الإلكتروني المذكور، إضافة إلى خادمي

إنترنت داخليين في مؤسستين أخريين في الكويت.

 

ولم تتمكن بالو ألتو نتوركس بعد من تحديد القطاع الذي تم استهدافه في اختراق خادم البريد

الإلكتروني.

 سبب التسمية ب .. النحلة الطنانة

وقد اكتشفت «بالو ألتو نتوركس» أداتين جديدتين للتسلل الخلفي تدعيان “تراي

فايف” TriFive و”سناجي” Snugy، إضافة إلى أداة خبيثة جديدة لتمرير الأوامر عبر الويب تدعى

النحلة الطنانة (BumbleBee)، وقد أطلقت هذه التسمية على الأداة نظرا لاعتماد تصميم

واجهتها على ألوان الأبيض والأسود والأصفر.

وقد عمدت الجهة التي تقف وراء البرمجيات الخبيثة الجديدة إلى استخدام أداة توجيه الأوامر

“النحلة الطنانة” لتحميل وتنزيل ملفات من وإلى خادم البريد الإلكتروني المخترق، والأهم كان

استغلالها لتنفيذ أوامر مكنت الجهة المعادية من اكتشاف المزيد من الأنظمة والتنقل بين خادم

وآخر على الشبكة الخاصة بالمؤسسة الكويتية.

كما قامت بالو ألتو نتوركس برصد الجهة المعادية ذاتها أثناء تفاعلها المباشر مع أداة

“النحلة الطنانة” على خادم البريد الإلكتروني المخترق في المؤسسة الكويتية،

إذ تبين أن الوصول إلى الخادم متاح من شبكة الإنترنت.

وقد استخدمت الجهة المعادية خدمات الشبكات الافتراضية الخاصة (VPN)

 التي توفرها شركة “برايفت إنترنت أكسس” Private Internet Access عند محاولة

ولوج أداة “النحلة الطنانة” من خوادم يمكن الوصول إليها عبر الإنترنت.

وقد تعمدت الجهة المعادية تكرار الدخول انطلاقا من نقاط مختلفة بهدف تغيير

عنوان بروتكول الإنترنت الخارجي IP الذي يجري تدوينه عادة في سجلات الخوادم.

حيث قامت الجهة المعادية على وجه التحديد بتغيير عنوان بروتكول الإنترنت

لتبدو أنها من دول عديدة مختلفة شملت بلجيكا وألمانيا وأيرلندا وإيطاليا ولكسمبورج

وهولندا وبولندا والبرتغال والسويد والمملكة المتحدة.

محاولة لتجنب الرصد

وتعتقد بالو ألتو نتوركس أن ذلك محاولة لتجنب الرصد وجعل تعقب وتحليل الأنشطة الخبيثة

أكثر صعوبة على المعنيين بالأمن.

كما وقفنا على حقيقة قيام الجهة المعادية بتبديل أنظمة التشغيل والمتصفحات المستخدمة

في الدخول، والتي كانت تحديدا متصفحات موزيلا فايرفوكس

أو جوجل كروم على أنظمة ويندوز 10 وويندوز 8.1 أو أنظمة لينوكس.

 وهذا يشير إلى أن الجهة المعادية لديها إمكانية الوصول إلى أنظمة متعددة تستخدمها لجعل

التحليلات الأمنية اللاحقة أكثر صعوبة،

أو ذلك ربما يشي بوجود عدة جهات معادية لديها تفضيلات متنوعة بين الأنظمة والمتصفحات.

الجدير بالذكر أن عملاء جدار الحماية من الجيل الجديد لدى «بالو ألتو نتوركس»

يتمتعون بالوقاية من الهجمات المرتبطة بحملة “إكس هانت” عبر الاشتراكات

بمنصات مكافحة التهديدات وفلترة عناوين الإنترنت وأمن أنظمة أسماء النطاقات.

شاهد أيضاً

مجموعة يلا

مجموعة يلا تُعلن عن نتائج مالية استثنائية خلال عام 2023 بإيرادات وصلت إلى 1.171 مليار درهم

أعلنت “مجموعة يلا” المحدودة نتائجها المالية للعام المالي المنتهي في 31 ديسمبر 2023، وقد بلغت …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *