الباحثون: ريشيكا ديساي، أنانديشوار أونيكريشنان

الفئة:

استخبارات الخصم

الصناعة:

متعدد

التحفيز:

المالية

المنطقة:

عالمي

المصدر:

D4

ملخص تنفيذي

تهديدتأثيرتخفيف

• تعمل مجموعة من الجهات الفاعلة في مجال التهديدات ذات الدوافع المالية، تسمى Eternity، بنشاط في بيع الديدان والسرقات وأدوات DDoS ومنشئي برامج الفدية.

• يمكن للجهات الفاعلة في مجال التهديد والحملات استخدام هذه الخدمات للحصول على موطئ قدم أولي، والاستفادة من الامتيازات، واستخراج البيانات، والتشفير مقابل مبالغ الفدية، وتنفيذ هجمات الهندسة الاجتماعية المعقدة، أو الحفاظ على المثابرة.

• قم بإعادة تعيين بيانات اعتماد تسجيل دخول المستخدم المخترقة وتنفيذ سياسة كلمة مرور قوية لجميع حسابات المستخدمين.
• قم بتنفيذ تكوينات الأمان على أجهزة البنية التحتية للشبكة مثل جدران الحماية وأجهزة التوجيه.

كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشفت مجموعة من الجهات الفاعلة في مجال التهديد بدوافع مالية، يطلق عليها اسم خلود، تعمل بنشاط على الإنترنت، وتبيع الديدان والسارقون وأدوات DDoS ومنشئو برامج الفدية.

 

التسلسل الزمني لمجموعة Eternity Ransomware

يمكن إرجاع أنشطة المشغلين الأصليين لمجموعة Eternity ransomware إلى بضع سنوات عندما كانوا يعملون بنشاط تحت أسماء مختلفة (Vulturi Stealer و Jester Malware وما إلى ذلك) في منتديات متعددة. ومع ذلك، يعمل ممثل التهديد الأصلي على GitHub تحت اسم 'الطول 1 × 4 م'، والتي يمكن تفسيرها على أنها «لايتمان». يتميز مستودع Github الذي يحتفظ به هذا الممثل بمشاريع مختلفة. استنادًا إلى نشاط L1gHTM4n، قام باحثو CloudSek بتخطيط الأنشطة التي أدت إلى تطوير برنامج Eternity Malware.

التحليل

تنشط مجموعة برامج الفدية Eternity على قنوات متعددة وتقدم تحديثات مختلفة عليها جميعًا، مما يشير إلى أن المجموعة يمكن أن تعمل كمجموعة. تكتسب أداة إنشاء برامج الفدية التي باعتها المجموعة مؤخرًا زخمًا بين الجهات الفاعلة في مجال التهديد. حدد باحثو CloudSek مستودع GitHub بواسطة الطول 1 × 4 م، الذي يُشتبه في أنه أحد مشغلي Eternity.

التحليل الفني لبرنامج الفدية الأبدي

في الآونة الأخيرة، اكتشف فريق أبحاث استخبارات التهديدات في CloudSek عينة من برنامج Eternity ransomware الذي يقوم بتشفير الملفات ويترك مذكرة فدية.

عمليات ما قبل التشفير

• تتم كتابة برنامج الفدية في C #/.NET، حيث يستمر بدء البيانات لإنشاء كلمة مرور عشوائية تلعب دورًا مهمًا في عمليات التشفير. توضح الصورة أدناه عملية بدء كلمة المرور وتعيينها لمتغير «كلمة المرور».

• الوظيفة الموضحة أدناه مسؤولة عن إنشاء كلمة المرور.

• بعد الانتهاء بنجاح من إنشاء كلمة المرور، تقوم البرامج الضارة بتنفيذ وظيفة «Encrypt_Pass» لتخزينها بأمان لفك التشفير.

• تظهر وظيفة Encrypt_pass أدناه. يتم تشفير سلسلة كلمة المرور باستخدام خوارزمية تشفير RSA. تكون المعلمات المقدمة للخوارزمية في شكل سلسلة XML تحتوي على المعامل وExponent المطلوبين من قبل الخوارزمية.

• ومن المثير للاهتمام أنه بعد تشفير سلسلة كلمة المرور، تقوم البرامج الضارة بترميز البيانات المشفرة باستخدام نظام ترميز Base64. ثم يتم تخزين البيانات المشفرة كملف «sendme.eternityraas» في دليل سطح المكتب للجهاز المستهدف. هذا الملف مهم جدًا لأنه مطلوب لفك التشفير.
• بعد التشفير الناجح لبيانات المستخدم على النظام، ترشد البرامج الضارة المستخدم لإرسال نسخة من ملف «sendme.eternityraas» إلى المهاجمين عبر البريد مع المعرف.
• بعد دفع طلب الفدية البالغ 800 دولار أمريكي، يرسل المهاجم كلمة المرور المستردة من ملف «sendme.eternityraas» إلى المستخدم. ثم تبدأ البرامج الضارة عملية فك التشفير.

عملية التشفير

• تبدأ البرامج الضارة عملية التشفير من خلال تنفيذ وظيفة «start».
• يتم تعداد كل من محركات الأقراص المحلية والمتصلة بالشبكة بواسطة البرامج الضارة. بطريقة تكرارية، تتم معالجة الملفات في كل محرك أقراص للتشفير من خلال تنفيذ وظيفة «Attack»، كما هو موضح في الصورة أدناه.

• تتم معالجة كل دليل كما هو موضح في الصورة أدناه. تحتفظ البرامج الضارة بقائمة طويلة جدًا من الإضافات للتشفير، وتتحقق لمعرفة ما إذا كان امتداد الملف المعالج موجودًا في القائمة أم لا. في حالة اجتياز الملف للفحص، تقوم البرامج الضارة بتحديد الملف لمزيد من المعالجة من خلال تنفيذ وظيفة «ProcessFile».

• سيتم تشفير الملفات ذات الامتداد التالي بواسطة البرامج الضارة.

«pdf»، «ops»، «ppt»، «pptm»، «pptx»، «ps»، «psd»، «vcf»، «xlr»، «xlsx»، «xlsm»، «ods»، «ods»، «indd»، «dwg»، «dxf»، «kml»، «kmz»، «gpx»، «كاد»، «wmf»، «3fr»، «آري»، «arw»، «باي»، «bmp»، «cr2»، «كرو»، «cxi»، «dcr»، «dng»، «eip»، «erf»، «fff»، «gif»، «iiq»، «j6i»، «kdc»، «kdc»، «mef»، «mfw»، «mos»، «mrw»، «nef»، «orf»، «pf»، «png»، «raf»، «raw»، «rw2»، «rwz»، «srf»، «srw»، «x3f»، «jpg»، «jpg»، «jpg»، «jpeg»، «tr2»، «srf»، «x3f»، «jpg»، «jpg»، «jpg»، «jpg»، «jpeg»، «tr2»، «srf»، «srw»، «x3f»، «jpg»، «jpg»، «jpeg»،»، «تيف»، «تيف»، «آي»، «3g2"، «3gp»، «asf»، «avi»، «flv»، «m4v»، «mv»، «mv»، «mv»، «mp4»، «mpg»، «rm»، «swf»، «vob»، «wmv»، «txt»، «php»، «html» »، «tar»، «gz»، «sql»، «js»، «css»، «txt»، «pdf»، «tgz»، «الحرب»، «jar»، «جافا»، «الفئة»، «روبي»، «py»، «cs»، «zip»، «db»، «doc»، «xls»، «الخصائص»، «xml»، «jpg»، «jpeg»»، «gif»، «mov»، «avi»، «wmv»، «mp3»، «mp4"، «wma»، «acc»، «wav»، «pem»، «pub»، «docx»، «apk»، «exe»، «dll»، «tpl»، «psd»، «asp»، «phtml»، «aspx»، «csv»، «SQL» و «mp4" و «7z» و «rar» و «m4a» و «wma» و «avi» و «wmv» و «csv» و «d3dbsp» و «zip» و «sie» و «sum» و «ibank» و «t13" و «t12" و «qdf» و «gdb» و «tax» و «pkpass» و «bc6" و «bc7»»، «بوب»، «إيك»، «بيف»، «سيدن»، «سايد»، «ميداتا»، «إيتل»، «إيدب»، «إيكسس»، «هفول»، «هبلوج»،» hkdb»، «mdbackup»، «syncdb»، «gho»، «cas»، «svg»، «الخريطة»، «wmo»، «itm»، «sb»، «fos»، «mov»، «vdf»، «ztmp»، «sis»، «sid»، «ncf»، «القائمة»، «التخطيط»، «dmp»، «blob»، «blob»، «blob»، «blob»، esm»، «vcf»، «vtf»، «dazip»، «fpk»، «mlx»، «kf»، «vpk»، «تور»، «بسك»، «ريم»، «w3x»، «fsh»، «ntl»، «arch00»، «lvl»، «snx»، «cfr»، «ff»، «vpp_pc»، «lrf»، «m2»، «mcmeta»، «vfs0»، «mpage»، «kdb»، «db0"، «dba»، «rofl»، «hox»، «bar»، «upk»، «داس»، «iwi»، «ltx»، «ltx»، «ads»، «ltx» bsa»، «apk»، «re4"، «save»، «lbf»، «slm»، «bik»، «epk»، «rgss3a»، «pak»، «big»، «المحفظة»، «wortplay»، «xxx»، «desc»، «py»، «m3u»، «flv»، «js»، «css»، «rb»، «png»، «jpeg»، «txt»، «p7c»، «p7b»، «p12"، «pfx»، «pem»، «crt»، «der»، «x3f»، «srw»، «pf»، «pf»، «pf»، «pf»، «pf»، «pf»، «pf»، «pf»، «pf»، «pf»، «pf»، «pf»، «pf»، «pf»، «pf»، «pf»، «pf»، «pf»، «pf»، «ptx»، «r3d»، «rw2"، «rwl»، «raw»، «raf»، «nrw»، «mrwref»، «mef»، «erf»، «kdc»، «dcr»، «cr2»، «bay»، «sr2»، «sr2»، «sr2»، «srf»، «arw»، «3fr»، dng»، «jpe»، «jpg»، «cdr»، «indd»، «ai»، «eps»، «pdf»، «pdf»، «psd»، «dbf»، «mdf»، «mdf»، «accdb»، «dxg»، «dwg»، «pst»، «accdb»، «mdb»، «pptm»، «pptx»، «ppt»، «xlsb»، «xlsm»، «xlsx»، «xls»، «wps»، «docm»، «docx»، «doc»، «odc»، «odc»، «odc»، «odp»، «دوس»، «دوت»، «دوت»، «دوت»،» دوس»، «أودب»، «أودم»، «أودك»، «أودب»، «دوك»، «دوك»، «دوك»، «وابس»، «إكس إل إس»، «إكس إل إس إكس»، «إكس إل إس إم»، «إكس إل إس بي»، «إكس إل إس»، «إكس إل إس»، «إكس إل إس»، «إكس إل إس إم»، «إكس إل إس بي»، «إكس إل إس»، «إكس إل إس إم»، «إكس إل إس بي»، «إكس إل إس إم»، «إكس إل إس إم»، «إكس إل إس إم»، «إكس إل إس بي»، «إكس إل إس إم»، «إكس إل إس إم»، «إكس إل إس إم»، «إكس إل إس بي»، «إكس إل إس إم»، «إكس إل إس إم»، «إكس»، «dwg»، «dxf»، «dxg»، «wpd»، «rtf»، «wb2»، «mdf»، «dbf»، «psd»، «pdf»، «eps»، «ai»، «indd»، «cdr»، «dng»، «3fr»، «arw»، «srf»، «sr2»، «mp3»، «باي»، «كرو»، «cr2"، «dcr»، «kdc»، «erf»، «mef»، «mrw»، «nef»، «nrew»، «orf»، «raw»، «rw2»، «r3d»، «ptx»، «pdf»، «srw»، x3f»، «دير»، «cer»، «crt»، «pem»، «pfx»، «p12"، «p7b»، «p7c»، «jpg»، «png»، «jff»، «jpeg»، «gif»، «bmp»، «exif»، «txt»، «3fr»، «accdb»، «ai» ، «arw»، «bay»، «cdr»، «cder»، «cr2»، «crt»، «dbf»، «dcr»، «der»، «dng»، «doc»، «ddc»، «ddx»، «dxf»، «dxg»، «eps»، «erf»، «indd»، «indd»، jpe»، «jpg»، «kdc»، «mdb»، «mdf»، «mrw»، «nef»، «nrew»، «odb»، «odm»، «odp»، «ods»، «odt»، «orf»، «p12"، «p7b»، «p7c»، «pdf»، «pdf»، «pdf»، «pdf»، «pdf»، «القلم»، «pfx»، «ppt»، «pptm»، «pptx»، «pst»، «ptx»، «r3d»، «raw»، «rtf»، «rw2»، «rwl»، «srw»، «wb2"، «wpd»، «wps»، «xlk»، «xls»، «xlsb»، «xlsm»، «xlsx»، «wb2"، «p7c»، «p7b»، «p12"، «pfx»، «pem»، «crt»، «cer»، «der»، «pl»، «py»، «lua»، «css»، «js»، «asp» «،» php»، «incpas»، «asm»، «hpp»، «n»، «cpp»، «c»، «7z»، «zip»، «rar»، «drf»، «blend»، «apk»، «3ds»، «dwg»، «esda»، «ps»، «pat»، «fxg»، «fd»، «fd»، «fg»، «fh»، «fg»، «fg»، «fg»، «fh»، «fg»، «fg»، «fg»، «fh»، «fg»، «fg»، «fg»، «fg»، «fg»، «fh»، «fg» dxb»، «draw»، «design»، «ddrw»، «ddoc»، «csh»، «cdr»، «cdr»، «cdr»، «cdrw»، «cdr5"، «cdr4"، «cdr3"، «cdr»، «cdr»، «awg»، «wit»، ai»، «agd1"، «cbcra»، «x3f»، «stx»، «st8"، «st7"، «st6"، «st5"، «st5"، «st4"، «srw»، «srf»، «sr2»، «sd1"، «sd0"، «rwz»، «rw2»، «raw»، «raw»، «raw»، «raw»، «raw»، «raw»، «raw»، «raw»، «raw»، «raw»، «raw»، «raw»، «raw»، «raw»، «raw»، «raw»، «raw»، «raw»، «raw»، «raw»، «raw» raf»، «ra2"، «ptx»، «pf»، «pd»، «off»، «nwb»، «nop»، «nef»، «ndd»، «mw»، «mfw»، «mf»، «mdc»، «kdc»، «kc2»، «iq»، «gry»، «gry»، رمادي»، «جراي»، «فوكس»، «fff»، «exf»، «erf»، «dng»، «dcr»، «dc2"، «كرو»، «craw»، «cr2»، «cmt»، «cib»، «ce2"، «ce1"، «arw»، «3pr»، «3fr»، «mpg»، «jpeg»، «jpeg»، «de1"، «arw»، «3pr»، «3fr»، «mpg»، «jpeg»، «jpeg»، «jpg»، «mdb»، «sqlite3"، «sqlite»، «sql»، «sdf»، «sav»، «sas7bdat»، «s3db»، «rdb»، «psafe3"، «nsf»، «nsf»، «nsf»، «nsf»، «nx2»، «ns1»، «nsh»، «nsg»، «nsf»، «nsf»، «nsf»، «nsf»، «nsf»، «nsf»، «nx2"، «nsh»، «nsg»، «nsf»، «nsf»، «nsf»، nsd»، «ns4"، «ns3"، «ns2"، «myd»، «kpdx»، «kdbx»، «idx»، «ibz»، «ibd»، «fdb»، «erbsql»، «dbf»، «db-journal»، «db-journal»، «db»، «cls»، «bdb»، «al»، «adb»، «backupdb»، «bik»، «النسخ الاحتياطي»، «bak»، «bkp»، «موني ويل»، «mmw»، «ibank»، «hbk»، «ffd»، «ddd»، «ddc»، «ddd»، «cfp»، «cdf»، «bw»،» bt»، «acr»، «ac2»، «ab4"، «djvu»، «pdf»، «xm»، «odf»، «std»، «sdx»، «otg»، «sti»، «sxi»، «otp»، «odg»، «odg»، «ods»، «xg»، «xg»، «stc»، «ots»، «ods»، «sxg»، «xg»، «stw»، «sxw»، «odm»، «oth»، «ott»، «odb»، «csv»، «rtf»، «الوصول»، «الوصول»، «الوصول»، «accedb»، «sldm»، «sldx»، «ppsm»، «ppsm»، «البريد العشوائي»، «البريد العشوائي»، «البريد العشوائي»، «البريد العشوائي»، «البريد العشوائي»، «البريد العشوائي»، «البريد العشوائي»، «البريد العشوائي»، «البريد العشوائي»، «البريد العشوائي»، «البريد العشوائي»، «البريد العشوائي»، «البريد العشوائي»، «البريد العشوائي»، «البريد العشوائي»، «البريد العشوائي»، «البريد العشوائي»، «البريد العشوائي»، «البريد العشوائي»، «البريد العشوائي»، «البريد العشوائي»، «x»، «pptm»، «pptx»، «opts»، «ppt»، «xlw»، «xlm»، «xla»، «xlsb»، «xltm»، «xlsm»، «xlm»، «xlm»، «xlt»، «xls»، «xml»، «xlm»، «xlm»، «xlm»، «xlm»، «xlm»، «xlm»، «xlm»، «xlm»، «xlm»، «xlm»، «xlt»، «xlm»، «xlm»، «xlm»، «xlm»، «xlm»، «xldotm»، «dotx»، «docm»، «docx»، «dot»، «dot»، «ods»، «odp»، «odm»، «odc»، «odc»، «doc»، «doc»، «docx»، «docm»، «wps»، «xls»،» xlsx»، «xlsm»، «xlsb»، «xlk»، «pptx»، «pptm»، «mdb»، «accdb»، «pst»، «dwg»، «dxg»، «wpd»، «rtf»، «wb2»، «mdf»، «dbf»، «psd»، «psd»، «pd»، «rtf»، «wb2»، «mdf»، «dbf»، «psd»، «pd»، «pf» dd»، «pdf»، «eps»، «ai»، «indd»، «cdr»، «jpg»، «jpg»، «dng»، «3fr»، «arw»، «sr2»، «bay»، «crw»، «cr2»، «dcr»، «kdc»، «erf»، «mef»، «mef»، «mrw»، «net»، «nw»، «orf»، «raw»، «rwl»، «rw2»، «r3d»، «ptx»، «pf»، «srw»، «x3f»، «der»، «crt»، «pem»، «pfx»، «p12"، «p7b»، «p7c

• تقوم وظيفة «ProcessFile» كما هو موضح في الصورة أدناه بالتحقق مبدئيًا مما إذا كان الملف المحدد محددًا أم لا.

• يتم هذا التحقق عن طريق التحقق من أول 3 بايتات من الملف للعلامة «Eth». إذا لم يتم وضع علامة على الملف، فإن الوظيفة «processFile» تستدعي وظيفة أخرى «EncryptFile» لقفل الملف.

• عندما يتعلق الأمر بتعداد الدليل، تتخطى البرامج الضارة الملفات الموجودة في الأدلة التالية:
  • «جميع المستخدمين\ Microsoft\»
  • «سلة المحذوفات بالدولار»
  • «C:\Windows»
  • «C:\Program ملفات»
  • «ملفات الإنترنت المؤقتة»
  • «بيانات التطبيق\»
  • «\ المصدر\»
  • «C:\ProgramData»
  • «\ الخلود\»
• تعرض الصورة التالية وظيفة تشفير الملفات التي تستخدمها البرامج الضارة. تستخدم البرامج الضارة نظام تشفير AES لقفل بيانات المستخدم. قبل كتابة البيانات المشفرة، تقوم البرامج الضارة بكتابة وحدات البايت أولاً في الملف كما هو موضح في الصورة أدناه. تتم إضافة وحدات البايت المقابلة لـ «Eth» إلى البيانات المشفرة باعتبارها 3 وحدات بايت أولية.

عمليات ما بعد التشفير

بعد التشفير، تستمر البرامج الضارة في تنفيذ ثلاث وظائف: «DestroyCopy» و «setStartup» و «CreateUI».

تدمير نسخة

هذه الوظيفة، كما يوحي الاسم، تدمر النسخة الاحتياطية من البيانات عبر WMI. كما هو موضح في الصورة التالية، تصل البرامج الضارة إلى فئة WMI «Win32_shadowCopy»، وتنفذ طريقة Delete (). عند تنفيذ «الحذف»، يتم حذف بيانات النسخ الاحتياطي، ويتم منع المستخدم من إجراء نسخة احتياطية للبيانات لاستعادة الملفات المقفلة.

تعيين بدء التشغيل

تكتب هذه الدالة «الخلود» كقيمة جديدة في «HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run»، مما يشير إلى برنامج الفدية الثنائي كما هو موضح في الصورة أدناه. سيؤدي هذا إلى تنفيذ برنامج الفدية في كل مرة يقوم فيها المستخدم بتسجيل الدخول إلى النظام.

الصورة أدناه هي لقطة التسجيل الخاصة بـ Run Key بعد تنفيذ نموذج البرامج الضارة «sam.exe».

إنشاء واجهة مستخدم

تلعب هذه الوظيفة دورًا مهمًا في عملية برامج الفدية. يقوم بتشغيل نموذج Windows وتشغيله كما هو موضح في الصورة أدناه. نموذج Windows هو عنصر واجهة المستخدم لتطبيقات سطح المكتب. تحتوي البرامج الضارة على فئة تسمى PayM3، والتي تمثل النموذج. تقوم وظيفة CreateUI بإنشاء مثيل للبيانات المطلوبة وتنفيذ النموذج.

بمجرد تنفيذ النموذج، يتم إنشاء نافذة منبثقة كما هو موضح في الصورة أدناه. منطق فك التشفير مرتبط بهذا النموذج. سيبدأ النموذج روتين فك التشفير عندما يرسل المستخدم كلمة المرور الصحيحة التي تم إنشاؤها بواسطة برنامج الفدية، كما ذكرنا سابقًا. نظرًا لأن هذا النموذج مهم لفك تشفير البيانات، فإن برنامج الفدية المتطور للغاية يربط لوحة المفاتيح حتى لا يغلق المستخدم النوافذ، حتى عن طريق الصدفة.

روابط لاعتراض وظيفة لوحة المفاتيح

يقوم النموذج المذكور أعلاه بزراعة خطاف لوحة مفاتيح لاعتراض الأحداث على لوحة مفاتيح المستخدم في وظيفة PayM3_load، كما هو موضح في الصورة أدناه. تُستخدم وظائف رد الاتصال «LowLevelKeyboardProc» و «setWindowsHookEx» لربط لوحة مفاتيح المستخدم. وعندما يضغط المستخدم على مفتاح، يقوم النظام بتنفيذ وظيفة «CaptureKey» التي توفرها البرامج الضارة. على الرغم من أن ربط لوحة المفاتيح هو آلية بسيطة في برامج التجسس وبرامج الروبوت، إلا أنه في هذه الحالة، يتم استخدام هذه الخطافات لتحقيق نتيجة مختلفة.

يتأكد الخطاف الموضح في الصورة التالية من أن المستخدم لا ينهي النموذج بشكل صريح أو عرضي. يهتم الخطاف فقط باعتراض مفاتيح التعديل مثل مفاتيح Shift/Alt/CTRL/Windows. عادةً ما يستفيد المستخدمون منه لإنهاء البرنامج بقوة أو تنفيذ مهام أخرى مثل فتح إدارة المهام على Windows.

يستخدم مشغلو Eternity ransomware هذا كميزة آمنة من الفشل للبرامج الضارة من قبل الخصم. يقوم الخطاف ببساطة بالتحقق مما إذا كانت المفاتيح المضغوطة هي مفاتيح التعديل. إذا كان الأمر كذلك، فإنه يقوم ببساطة بتنفيذ الإرجاع، مما يضمن عدم تسجيل المفاتيح المضغوطة من قبل النظام.

عند إرسال كلمة مرور صالحة إلى النموذج، يقوم بتنفيذ وظيفة تسمى «UndoAttack» تقوم بفك تشفير البيانات المقفلة.

الحادث الأخير

• في الآونة الأخيرة، اكتشف فريق أبحاث التهديدات في CloudSek عينة من برنامج Eternity ransomware الذي يقوم بتشفير الملفات ويترك مذكرة الفدية.

• للحصول على مفتاح فك التشفير، تحتاج الضحية إلى الاتصال بقنوات الاتصال التالية:

تم العثور على عناوين الاتصالTG: استعادة البيانات

البريد الإلكتروني: getyourfilesback_s@protonmail.com

• استنادًا إلى تحقيق CloudSek، تم دمج برنامج الفدية هذا مع برنامج الخلود الضار.

روابط بين L1gHTm4n والمهرج والخلود

• استنادًا إلى تحليلنا الفني، تم جلب الوحدات التي تم تطويرها ونشرها على مستودع Github الخاص بـ L1ghtm4n بواسطة برنامج Jester الضار.
• تفاصيل L1ghtm4n هي نفس قناة الاتصال التي يوفرها فريق Eternity، وترتبط المهارات التقنية لممثل التهديد هذا ارتباطًا وثيقًا بتطوير البرامج الضارة.
• تمت مشاركة جميع البرامج التعليمية والبيانات التي نشرتها فرق البرامج الضارة المرتبطة بـ L1ghtm4n باللغة الروسية أيضًا، مما يشير إلى أصل عامل التهديد.
• يعتقد باحثو CloudSek أن هناك احتمالًا طفيفًا بأن يكون برنامج التوظيف لمختلف المتدربين الناطقين باللغة أثناء تدريب علم الفيروسات أحد الحالات التي كان من الممكن أن تتشكل منها Eternity.
• تتبع إعلانات Eternity و Jester و Lilith و Merlyn نهجًا فنيًا مشابهًا للخربش وهو ملاحظة أخرى تساعد على اقتراح ثقة معتدلة بينهما.

التأثير والتخفيف

التأثيرالتخفيف

• يمكن أن تؤدي بيانات الاعتماد المسروقة من خلال البرامج الضارة المسروقة إلى تمكين الجهات الفاعلة الأخرى في مجال التهديد من الوصول إلى شبكات المنظمة.
• يمكن لمعلومات التعريف الشخصية المكشوفة (PII) تمكين الجهات الفاعلة في مجال التهديد من تنسيق مخططات الهندسة الاجتماعية وهجمات التصيد الاحتيالي وحتى سرقة الهوية.
• نظرًا لأن إعادة استخدام كلمة المرور هي ممارسة شائعة، يمكن للجهات الفاعلة في مجال التهديد الاستفادة من بيانات الاعتماد المكشوفة للوصول إلى حسابات المستخدمين الأخرى.
• يمكن أن تكشف التفاصيل السرية المكشوفة من خلال أنشطة برامج الفدية عن الممارسات التجارية والملكية الفكرية.

• استخدم معلومات التهديدات الاستباقية لمنع الهجمات الوشيكة. XviGil من كلاود سيك يجوب الإنترنت وينبه المستخدمين للتهديدات المحتملة ويساعد على تعزيز وضعهم الأمني الخارجي.
• قم بإعادة تعيين بيانات اعتماد تسجيل دخول المستخدم المخترقة وتنفيذ سياسة كلمة مرور قوية لجميع حسابات المستخدمين.
• تحقق من الحلول والتصحيحات الممكنة مع إبقاء المنافذ مفتوحة.
• استخدم MFA (المصادقة متعددة العوامل) عبر عمليات تسجيل الدخول.
• قم بتصحيح جميع نقاط النهاية الضعيفة والقابلة للاستغلال.
• راقب الحالات الشاذة في حسابات المستخدمين والأنظمة التي يمكن أن تكون مؤشرات لعمليات الاستحواذ المحتملة.

المراجع

• *https://en.wikipedia.org/wiki/Intelligence_source_and_information_reliability
• ^#https://en.wikipedia.org/wiki/Traffic_Light_Protocol
• التحليل الهجين

الملحق

تفاصيل الاتصال

اسم المشروعجهة اتصال مرتبطةفولتوري ستيلرXMPP: LightMan@thesecure.biz

البريد الإلكتروني: L1ghtM3n@protonmail.com

التلغارم: @vulturi_project

البرامج الضارة من Jesterالتلغارم: https://t.me/Jester_Stealer

جابر: Jester_Stealer@thesecure.biz

معرف الرمز البريدي: BB9AFAD6FDE0FC274349742 F9C96186FB5A29A16 D7CFF554 EBF243 AE7834100 E78A3CB568DA8

برنامج الخلود الضارتيليجرام: @EternityTeams/@EternityDeveloper/@eternitymalware/@Eternityprojects

جابر: LightMan@thesecure.biz

جيثب: https://github.com/L1ghtM4n

البريد الإلكتروني: EternityProject@protonmail.com

العينات والبراهين المصورة