ربط باحثو الأمن السيبراني مجموعة التهديد السيبراني الشهيرة FIN7 بأداة خبيثة جديدة تُعرف باسم Anubis، وهي باب خلفي مبرمج بلغة Python يمنح المهاجمين القدرة على التحكم الكامل عن بُعد في الأنظمة المصابة التي تعمل بنظام Windows.
ذكرت شركة الأمن السيبراني السويسرية PRODAFT في تقرير تقني:
“تسمح برمجية Anubis للمهاجمين بتنفيذ أوامر shell عن بُعد والقيام بعمليات نظام أخرى، مما يمنحهم تحكمًا كاملاً في الجهاز المصاب.”
من هي مجموعة FIN7؟
تُعرف مجموعة FIN7 بأسماء أخرى مثل Carbon Spider وELBRUS وGold Niagara وSangria Tempest وSavage Ladybug، وهي مجموعة قرصنة روسية مدفوعة بالربح المالي.
تشتهر هذه المجموعة باستخدامها لمجموعة متطورة من البرمجيات الخبيثة التي تطوّرها باستمرار بهدف:
-
الوصول الأولي إلى الشبكات
-
سرقة البيانات
-
تنفيذ هجمات برامج الفدية (Ransomware)
في يوليو 2024، شوهدت المجموعة تروّج لأداة تُعرف باسم AuKill (المعروفة أيضًا بـ AvNeutralizer)، وهي أداة قادرة على تعطيل أدوات الحماية الأمنية، مما يشير إلى محاولاتها المستمرة لتنويع مصادر الدخل.
كيف تنتشر برمجية Anubis الخبيثة؟
يعتمد FIN7 على حملات التصيّد الإلكتروني (malspam) لإقناع الضحايا بتنزيل وتشغيل حمولة خبيثة مُستضافة على مواقع SharePoint مخترقة.
-
يتم تسليم Anubis على هيئة ملف ZIP
-
يحتوي الأرشيف على سكريبت Python يفك تشفير الحمولة الرئيسية ويشغّلها مباشرة في الذاكرة
-
يستخدم الاتصال بين النظام المصاب والخادم البعيد تشفير Base64 عبر بروتوكول TCP
وظائف Anubis المتقدمة:
بعد تثبيته، يقوم الباب الخلفي بتنفيذ أوامر مشفرة من الخادم تتيح له:
-
جمع عنوان IP للنظام المصاب
-
تحميل وتنزيل الملفات
-
تغيير مسار التشغيل الحالي
-
قراءة المتغيرات البيئية (Environment Variables)
-
التعديل في سجل ويندوز (Windows Registry)
-
تحميل مكتبات DLL في الذاكرة باستخدام PythonMemoryModule
-
تنفيذ أوامر وإيقاف نفسه تلقائيًا
تحليل إضافي من شركة GDATA
كشفت شركة GDATA الألمانية أن Anubis يدعم تنفيذ أوامر Shell يحددها المهاجم، ما يسمح بمهام متقدمة مثل:
-
تسجيل ضغطات المفاتيح (Keylogging)
-
التقاط لقطات شاشة
-
سرقة كلمات المرور
