تلعب Transparent Tribe، المعروفة أيضًا باسم APT36، لعبة القط والفأر منذ سنوات، وتعمل باستمرار على ترقية أدوات البرامج الضارة الخاصة بها لتجاوز الأمان. أحدث إبداعاتهم؟ Elizarat، أداة الوصول عن بُعد المخادعة (RAT) التي يصعب اكتشافها، و ApoloStealer، وهو مساعد خبير في السحابة تم تصميمه لسحب البيانات الحساسة تحت ستار حركة المرور غير الضارة. هذا الثنائي الخطير ليس مجرد برنامج ضار آخر - إنه درس رئيسي في الخداع، باستخدام أدوات مثل Slack و Google Drive للاندماج مباشرة في خلفية العمل اليومي.
تطور إليزارات: ما الذي تغير؟
عندما ظهرت EliZarat لأول مرة في عام 2023، استخدمت قنوات Telegram للتواصل مع وحدات التحكم الخاصة بها، ولكن مع مرور الوقت، تكيفت. اليوم، قام منشئو Elizarat بتوسيع قواعد اللعبة الخاصة بهم من خلال تضمين البرامج الضارة في ملفات متخفية في صورة روابط Google Storage، والتي يتم تسليمها غالبًا من خلال التصيد الاحتيالي. تخيل تلقي ملف يشبه رابط Google Drive مع تسمية مثل «موجز الحكومة» أو «التقرير المالي»، انقر عليه، وازدهر، لقد قمت للتو بتثبيت Elizarat على نظامك.
لقد أصبح هذا RAT المخادع أكثر ذكاءً بثلاث طرق رئيسية:
· التهرب بشكل أفضل — يختبئ Elizarat بشكل أفضل من برامج الأمان.
· الاتصالات التي تعمل بالطاقة السحابية— الاستفادة من الخدمات السحابية مثل Slack لإخفاء تسرب البيانات.
· جمع المعلومات الآلي — إسقاط ملفات الخداع كمصادر تشتيت أثناء جمع المعلومات الهامة بهدوء في الخلفية.
حملة Slack: برامج ضارة ذات تطور مؤسسي
في إحدى العمليات الأخيرة، استخدمت Transparent Tribe Slack لإعداد قنوات سرية لأوامر البرامج الضارة. إليك كيفية عملها:
· ذا هوك: يتلقى الضحايا ملف CPL (لوحة التحكم)، وغالبًا ما يتم تسميته بشيء حميد مثل «التقرير السنوي».
· ذا ستينج: بمجرد النقر، يقوم الملف بتثبيت EliZarat، والذي يبدأ في تسجيل معلومات الضحية والتحقق مما إذا كانت الضحية في الهند (تم تأكيد الهدف).
· الإعداد: يتم إنشاء دليل «SlackAPI» جديد على جهاز الضحية لإدارة البيانات المسروقة وسجلات البرامج الضارة.
الآن، في كل مرة تريد فيها Elizarat تسجيل الدخول باستخدام خادم C2 (الأوامر والتحكم)، فإنها تتظاهر بأنها روبوت Slack! تقوم Elizarat باختبار واجهة برمجة تطبيقات Slack للحصول على أوامر جديدة كل 60 ثانية، وتنفيذ إجراءات مثل التقاط لقطات شاشة أو تنزيل الملفات مباشرة إلى قاعدة بيانات المهاجم.
تعرف على أبولو سيلر، صديق إليزارات
لا يقتصر دور Elizarat على اللعب منفردًا فقط؛ فهو مدعوم من برنامج ApoloStealer، وهو برنامج ضار متعطش للبيانات يبحث دائمًا عن الملفات المثيرة. فهو يتطفل على أدلة مثل سطح المكتب وOneDrive والتنزيلات، ويبحث عن أي شيء ذي قيمة بامتدادات مثل .docx أو.pdf أو.pptx. حتى أنه يغوص في محركات أقراص USB المتصلة بالنظام المصاب، ويقوم بأرشفتها من أجل التسلل لاحقًا.
كيف تعمل:
· عدد الملفات: يبحث ApoloStealer عن ملفات مثل المستندات الحكومية أو تقارير المشاريع.
· متجر قاعدة البيانات: يتم تخزين الملفات في قاعدة بيانات SQLite.
· النقل الخفي: بمجرد أن يكون هناك ما يكفي، يرسل ApoloStealer المعلومات بهدوء إلى خادم المخترق، متنكرًا في صورة حركة مرور Slack أو Google Drive.
ما هي الخطوة التالية؟ القبيلة الشفافة تستخدم جوجل درايف
تستمر البرامج الضارة في التطور، وتتجاوز Slack إلى Google Drive لاتصالات C2. شهدت الحملات الأخيرة قيام منشئي Elizarat بصياغة ملفات وهمية مثل «تنبيه التهديد» و «إشعار الحكومة»، والتي قاموا بتجريدها من خلال التصيد الاحتيالي. بمجرد الدخول، يتصل متغير Google Drive من Elizarat بـ Google Cloud باستخدام بيانات اعتماد حساب الخدمة وإدراج الملفات والاستيلاء على الأوامر - هدفه بسيط: البقاء غير مرئي.
الوجبات السريعة للدفاع:
احذر من روابط التصيد الاحتيالي: تبدأ العديد من إصابات Elizarat بملفات متخفية في صورة شيء مألوف أو رسمي. حتى إذا كان يشبه رابط Google Drive أو Slack، فاحذر من الملفات غير المرغوب فيها.
تحقق من استخدام واجهة برمجة تطبيقات Slack الخاصة بك: إذا كانت مؤسستك لا تستخدم واجهة برمجة تطبيقات Slack، فقد تكون رؤية حركة مرور غير متوقعة هنا بمثابة علامة حمراء.
الوصول إلى شريحة USB: يحب ApoloStealer محركات أقراص USB، لذا قم بتقسيم الوصول إلى الأنظمة المهمة وتثقيف المستخدمين حول التعامل الآمن مع وحدات التخزين الخارجية.
تنفيذ عناصر التحكم في الوصول إلى السحابة: نظرًا لأن Elizarat و ApoloStealer يستغلان الخدمات السحابية لاتصالات C2، فإن اعتماد إطار صارم للتحكم في الوصول للتطبيقات السحابية يمكن أن يقلل من المخاطر.
.png)
.png)