فشل في الأمن التشغيلي يكشف حملات البرمجيات الخبيثة لمجموعة Coquettte على خوادم استضافة محمية روسية

فشل في الأمن التشغيلي يكشف حملات البرمجيات الخبيثة لمجموعة Coquettte على خوادم استضافة محمية روسية
فشل في الأمن التشغيلي يكشف حملات البرمجيات الخبيثة لمجموعة Coquettte على خوادم استضافة محمية روسية
شارك هذا الخبر

كشفت شركة DomainTools لأمن المعلومات عن نشاط فاعل تهديد سيبراني مبتدئ يستغل خدمات استضافة محمية روسية تُعرف باسم Proton66 لتوزيع برمجيات خبيثة وأنشطة غير قانونية أخرى.

موقع مزيف يكشف البنية التحتية الخبيثة

اكتشف الباحثون موقعًا مزيفًا، يستضيفه مزود الاستضافة المحمية (Bulletproof Hosting) Proton66، حيث يتظاهر الموقع بأنه خدمة مضادة للفيروسات.

إلا أن فشلًا في أمن العمليات (OPSEC) ضمن إعدادات هذا النطاق أدى إلى كشف البنية التحتية الضارة، بما في ذلك الحمولة الخبيثة (malware payloads) المخزّنة على الخادم، مما أتاح للباحثين الوصول إلى تفاصيل دقيقة حول العمليات الإجرامية الرقمية التي يديرها الفاعل المعروف باسم Coquettte.

من هو Coquettte؟

تشير التحليلات إلى أن Coquettte هو مجرم سيبراني ناشئ، هاوٍ، يستخدم بيئة Proton66 لتوزيع البرمجيات الخبيثة على شكل أدوات أمنية مزيفة.

البرمجية الخبيثة تكون مضمّنة ضمن أرشيف مضغوط (CyberSecure Pro.zip)، يحتوي على ملف تثبيت لنظام ويندوز يقوم بعد التشغيل بتنزيل حمولة خبيثة إضافية من خادم تحكم وسيطرة (Command-and-Control – C2)

المرحلة الثانية من الهجوم تعتمد على محمّل خبيث يُعرف باسم Rugmi، الذي تم استخدامه سابقًا لنشر أدوات سرقة المعلومات مثل:

  • Lumma

  • Vidar

  • Raccoon Stealer

كشف هوية المهاجم بالصدفة

عبر تتبع البصمة الرقمية، تم اكتشاف موقع شخصي يصرّح فيه الفاعل بأنه “طالب يبلغ من العمر 19 عامًا، يدرس تطوير البرمجيات، ما يؤكد أن Coquettte هو المسؤول عن كل من البنية التحتية الخبيثة والموقع الأمني المزيف.

صرّحت DomainTools:

“تشير هذه المعطيات إلى أن Coquettte شاب مبتدئ على الأرجح، ويعكس ذلك الأخطاء الهواة مثل ترك المجلدات مكشوفة بدون حماية في الخادم.”

علاقات مشبوهة مع محتوى غير قانوني

لم تتوقف أنشطة Coquettte عند توزيع البرمجيات الخبيثة فقط، بل شملت أيضًا إدارة مواقع إلكترونية أخرى تبيع دروسًا لصناعة مواد ممنوعة وأسلحة محظورة. وتشير الأدلة إلى أن Coquettte قد يكون جزءًا من مجموعة اختراق أكبر تُعرف باسم Horrid.

صرحت الشركة الأمنية:

“تشابه البنية التحتية الرقمية للمواقع المختلفة يدل على أن الفاعلين قد يُطلقون على أنفسهم اسم Horrid، وأن Coquettte هو اسم مستعار لأحد أعضائها وليس فاعلًا منفردًا.”

مجموعة Horrid: حضانة للمجرمين السيبرانيين الهواة

تشير الأدلة إلى أن مجموعة Horrid تعمل كـ “حاضنة” للمجرمين السيبرانيين المبتدئين، من خلال توفير:

  • بنية تحتية جاهزة للأنشطة غير القانونية.

  • أدوات توزيع برمجيات خبيثة.

  • دعم تقني لأفراد جدد في عالم الجريمة الإلكترونية.

وسوم
محمد طاهر
محمد طاهر
المقالات: 171

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة