عصابات برامج الفدية تستخدم برنامج Skitnet الخبيء لسرقة البيانات والوصول عن بُعد بسرية

عصابات برامج الفدية تستخدم برنامج Skitnet الخبيء لسرقة البيانات والوصول عن بُعد بسرية
عصابات برامج الفدية تستخدم برنامج Skitnet الخبيء لسرقة البيانات والوصول عن بُعد بسرية
شارك هذا الخبر

كشفت شركة الأمن السيبراني السويسرية PRODAFT عن استخدام عدة عصابات لبرامج الفدية لبرنامج خبيء يُدعى Skitnet لسرقة البيانات الحساسة والتحكم عن بُعد في الأنظمة المخترقة.

انتشار Skitnet في الهجمات الإلكترونية

  • تم بيع Skitnet في منتديات الإنترنت المظلم مثل RAMP منذ أبريل 2024

  • منذ بداية 2025، لوحظ استخدامه من قبل عدة مجموعات إجرامية في هجمات حقيقية

  • في أبريل 2025، استخدمت عصابة Black Basta البرنامج في حملات تصيد تستهدف بيئات المؤسسات عبر Microsoft Teams

مميزات برنامج Skitnet الخبيء

يُعرف البرنامج أيضاً باسم Bossnet وهو برنامج خبيء متعدد المراحل تم تطويره من قبل مخترق يُعرف باسم LARVA-306، ويتميز بـ:

  • استخدام لغتي Rust و Nim لتنفيذ هجمات عكسية عبر DNS

  • قدرته على التخفي من أنظمة الكشف التقليدية

  • آليات استمرارية متطورة

  • أدوات للوصول عن بُعد

  • أوامر لسرقة البيانات

  • قدرة على تحميل برامج ضارة إضافية

كيف يعمل Skitnet؟

تم الإعلان عن البرنامج لأول مرة في 19 أبريل 2024 كـ”حزمة متكاملة” تشمل:

  1. مكون خادم

  2. برنامج ضار

آلية العمل:

  1. يبدأ بتنفيذ ملف ثنائي مكتوب بلغة Rust لفك تشفير حمولة مضمنة مكتوبة بلغة Nim

  2. ينشئ اتصالاً عكسياً مع خادم التحكم (C2) عبر تحليل DNS

  3. يستخدم وظيفة GetProcAddress لتجنب الكشف

  4. يبدأ عدة سلاسل تنفيذية لإرسال طلبات DNS كل 10 ثوانٍ

أوامر PowerShell المدعومة

  • Startup: يضمن استمرارية العمل بإنشاء اختصارات في مجلد بدء التشغيل

  • Screen: يلتقط لقطة شاشة لسطح الضحية

  • Anydesk/Rutserv: ينشر برامج التحكم عن بُعد المشروعة

  • Shell: ينفذ نصوص PowerShell من خادم بعيد

  • AV: يجمع قائمة ببرامج الأمان المثبتة

تهديدات إضافية: TransferLoader وMorpheus

كشفت Zscaler ThreatLabz عن أداة تحميل ضارة جديدة تُدعى TransferLoader تستخدم في نشر برنامج فدية يُعرف باسم Morpheus، حيث استهدفت مؤخراً مكتب محاماة أمريكي.

مكونات TransferLoader:

  1. أداة التحميل: تسترد الحمولة من خادم C2 وتنفذ ملف PDF خداعي

  2. الباب الخلفي: ينفذ الأوامر الصادرة من الخادم

  3. أداة متخصصة: لتحميل الباب الخلفي

تقنيات التخفي:

  • استخدام نظام IPFS اللامركزي كقناة احتياطية لتحديث خادم C2

  • أساليب تعقيد لجعل عملية الهندسة العكسية أكثر صعوبة

الخلاصة: تطور التهديدات السيبرانية

يشهد عام 2025 تصاعداً في:

  • تطور البرمجيات الخبيثة متعددة المراحل

  • استخدام تقنيات متقدمة للتخفي

  • زيادة الاعتماد على أدوات التحكم عن بُعد

  • تنوع قنوات اتصال البرمجيات الضارة

يجب على المؤسسات تعزيز دفاعاتها ضد هذه التهديدات المتطورة من خلال:

  • تحديث أنظمة الكشف عن التسلل

  • تعزيز مراقبة حركة DNS

  • تطبيق مبدأ الامتياز الأدنى

  • تدريب الموظفين على التهديدات الحديثة

وسوم
محمد طاهر
محمد طاهر
المقالات: 308

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


انتهت فترة التحقق من reCAPTCHA. يُرجى إعادة تحميل الصفحة.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة