استخبارات الخصم

عمليات HUMINT تكشف عن حملة التعدين الخفي: التوزيع القائم على الخلاف للبرامج الضارة لاختطاف الحافظة التي تستهدف مجتمعات العملات المشفرة

كشفت CloudSek عن RedlineCyber، وهو عامل تهديد يتسلل إلى Discord لتوزيع Pro.exe. يقوم «مخترق الحافظة» هذا بمراقبة نظامك بصمت، ويتبادل عنوان محفظة الوجهة الخاص بك بالمهاجم لحظة لصقه. تستهدف هذه البرامج الضارة الخفية مشغلي البث واللاعبين، وتعمل بدون بصمة شبكية - مما يجعلها غير مرئية تقريبًا حتى تختفي أصولك.

January 15, 2026

min

Table of Content

Example H2

ملخص تنفيذي

من خلال عمليات الذكاء البشري (HUMINT) المكثفة التي أجريت في ديسمبر 2025، كشف فريق STRIKE التابع لشركة CloudSek عن عملية سرقة معقدة للعملات المشفرة دبرها ممثل التهديد الذي يعمل تحت الاسم المستعار»ريد لاين سايبر«. يتنكر الممثل باعتباره تابعًا لـ»حلول ريدلاين، «عن عمد للاستفادة من سمعة عائلة RedLine infostealer المعروفة لإثبات مصداقية زائفة داخل المجتمعات السرية.

تتمحور العملية حول ملف تنفيذي ضار يسمى»Pro.exe«(تم توزيعه أيضًا باسم" peeek.exe «)، والذي تم تحديده على أنه حصان طروادة لاختطاف الحافظة قائم على Python مصمم خصيصًا للسرقة الصامتة للعملات المشفرة. على عكس برامج الكشف عن المعلومات التقليدية التي تجمع بيانات النظام الواسعة، تستخدم هذه البرامج الضارة نهجًا عالي الاستهداف: تراقب باستمرار حافظة Windows لعناوين محفظة العملات المشفرة وتقوم بالاستبدال في الوقت الفعلي بالعناوين التي يتحكم فيها المهاجم في اللحظة المحددة التي يحاول فيها المستخدمون لصقها أثناء المعاملات.

النتائج الرئيسية

ناقل الهجوم: يستغل ممثل التهديد علاقات الثقة داخل مجتمعات Discord التي تركز على الألعاب والمقامرة وبث العملات المشفرة. يحدث التوزيع من خلال الهندسة الاجتماعية المباشرة، حيث يقوم الممثل بتنمية العلاقات مع الضحايا المحتملين، وخاصة مشغلي بث العملات المشفرة والمؤثرين، على مدى فترات طويلة قبل إدخال الحمولة الخبيثة باعتبارها «أداة أمان» أو «أداة بث».
التطور التقني: على الرغم من تصميمها الفعال، تُظهر البرامج الضارة تعقيدًا تقنيًا معتدلًا. يتم تعبئته كملف تنفيذي لـ PyInstaller يحتوي على رمز بايثون بايت غامض، ويستخدم التعبيرات العادية المشفرة بـ base64 لاكتشاف المحفظة، وينفذ الثبات الأساسي من خلال مفاتيح Windows Registry Run. يسمح التركيز التشغيلي الضيق للبرامج الضارة، ومراقبة الحافظة دون الاتصال بالشبكة أو تسريب البيانات، بالحفاظ على ملف تعريف اكتشاف منخفض.
التركيبة السكانية المستهدفة: يكشف تحليل قنوات التوزيع عن استهداف متعمد لمنشئي بث العملات المشفرة ومجتمعات ألعاب الكازينو والمستخدمين الذين يتعاملون بشكل متكرر مع معاملات الأصول الرقمية أثناء البث المباشر.
التأثير المالي: يكشف تحليل Blockchain لعناوين المحفظة التي يتحكم فيها المهاجم والمضمنة في البرامج الضارة عن اختراق ناجح وسرقة مالية من العديد من الضحايا. ويحتفظ الممثل بمحافظ منفصلة لستة عملات رقمية رئيسية (بيتكوين وإيثيريوم وسولانا ودوجكوين ولايتكوين وترون)، مما يشير إلى عملية سرقة متنوعة مصممة لالتقاط المعاملات عبر شبكات بلوكتشين المتعددة.

جمع معلومات التهديدات وإسنادها

عمليات HUMINT وإنشاء الاتصال الأولي

أثناء المراقبة الروتينية لأنشطة الجهات الفاعلة في مجال التهديد السري في منتصف ديسمبر 2025، حدد عملاء HUMINT في CloudSek شخصًا يعرّف نفسه على أنه تابع لـ»حلول ريدلاين«تعمل داخل مجتمعات العملات المشفرة والألعاب القائمة على Discord. بدأ الممثل الاتصال من خلال خوادم Discord المتعددة، ووضع نفسه كمطور لأدوات الأمان والمرافق لمنشئي بث العملات المشفرة.

شارك الممثل الملف التنفيذي الضار»Pro.exe«مباشرة من خلال Telegram وطلب تأطيرها كما لو كانت أداة حماية الحافظة مصممة لمنع الأخطاء العرضية في عناوين العملات المشفرة أثناء جلسات البث المباشر. قدم الممثل تعليمات محددة للتوزيع، بما في ذلك قائمة منسقة من دعوات خادم Discord التي تستهدف مجتمعات الألعاب والمقامرة والبث حيث يتجمع الضحايا المحتملون.

‍

رسم خرائط المجتمع المستهدف

كشف جمع المعلومات الاستخبارية عن ثمانية مجتمعات Discord أساسية مستهدفة بنشاط من قبل ممثل التهديد:

Discord Server	Community Focus	Attack Surface	Threat Classification
discord.gg/pkle	General gaming	Social engineering / Malware distribution	High-value streaming community
discord.gg/watchgamestv	Crypto streaming platforms	Phishing (Streaming tools)	Primary target demographic
discord.gg/syztmztv	Gaming broadcasts	Phishing (Utility software)	Primary target demographic
discord.gg/QKuNQRbT	Mixed gaming community	General spam / Reconnaissance	Opportunistic targeting
discord.gg/xposed	Gaming leaks / Data sharing	Credential harvesting	Secondary data collection
discord.gg/lootbox	Gambling / Loot systems	Financial scams / Asset theft	High-value transactional users
discord.gg/thedoctor	Roleplay / Modding	Mod/Plugin trojanization	Technical users
discord.gg/QkT8TPjRC	Unverified community	Reconnaissance / Spam	Testing distribution channels

‍

يوضح نمط الاستهداف هذا التركيز الاستراتيجي للممثل على المجتمعات التي تحدث فيها معاملات العملة المشفرة بشكل متكرر وحيث قد يكون المستخدمون أكثر عرضة للهندسة الاجتماعية بسبب الطبيعة السريعة لأنشطة البث والمقامرة.

‍الملف الشخصي لممثل التهديد والإسناد

الاسم المستعار: ريد لاين سايبر
شخصية تشغيلية: حلول RedLine (عملية وضع علامة كاذبة)
المؤشرات الجغرافية: غير معروف (تمت المحافظة على الأمن التشغيلي)
المخطط الزمني للنشاط: نشط منذ أكتوبر 2025 على الأقل
نموذج تحقيق الدخل: سرقة العملات المشفرة المباشرة+وساطة أوراق الاعتماد

حدد ارتباط المعلومات مفتوحة المصدر (OSINT) ممثل RedlineCyber الذي أعلن عن بيانات اعتماد مسروقة في سوق BreachStars في أكتوبر 2025، حيث قدم أكثر من 4200 اعتماد لتسجيل الدخول إلى LinkedIn تم جمعها من المستخدمين في الولايات المتحدة والمملكة المتحدة وأستراليا ونيوزيلندا. يشير هذا النشاط الموازي إلى عملية إجرامية متنوعة تجمع بين سرقة العملات المشفرة في الوقت الفعلي وسرقة بيانات الاعتماد التقليدية وإعادة البيع.

إن اختيار الممثل لانتحال شخصية «RedLine Solutions» التي تحاكي عائلة البرامج الضارة RedLine Stealer الشهيرة، يخدم أغراضًا استراتيجية متعددة:

يؤسس مصداقية فورية داخل المجتمعات السرية المألوفة بـ RedLine
يخلق الارتباك أثناء جهود التحليل والإسناد
يسمح للممثل بالاستفادة من سمعة عائلة البرامج الضارة الأكثر تعقيدًا
يقلل الشك الأولي عند توزيع الحمولة على أهداف ذات معرفة فنية

ومع ذلك، يؤكد التحليل الفني أن هذه البرامج الضارة ليست نوعًا مختلفًا من عائلة RedLine Stealer الشرعية. تمت كتابة برنامج RedLine الضار الأصلي بلغة C # (.NET)، ويتميز بقدرات واسعة لسرقة المعلومات، ويعمل مع البنية التحتية للأوامر والتحكم. في المقابل، تعتمد البرامج الضارة لـ RedlineCyber على Python، وتفتقر إلى الاتصال بالشبكة، وتركز حصريًا على معالجة الحافظة.

التحليل الفني والهندسة العكسية للبرامج الضارة

الحصول على العينات والتقييم الأولي

معلومات العينة الأولية:

اسم الملف: Pro.exe (التوزيع البديل: peeek.exe)
حجم الملف: ~ 7.8 ميغابايت
شا-256: 0d6e83e240e41013a5ab6df847c689447755 e8b162215866 d7390c793694 DC6
معدل الكشف: 34/69 من موردي برامج مكافحة الفيروسات (VirusTotal)
التصنيف الأساسي: تروجان.كليبانكر/حصان طروادة بنكر.win32.ClipBanker

التحليل الثابت: تحديد بنية PyInstaller

كشف الفحص الأولي باستخدام أدوات استخراج السلاسل القياسية عن قطع أثرية مميزة تشير إلى تغليف PyInstaller:

‍

أكدت هذه المؤشرات أن الملف القابل للتنفيذ هو ملف واحد باي إنستالر تتضمن الحزمة بيئة تشغيل Python كاملة ورمز بايت مُجمَّع. PyInstaller هي أداة شرعية تُستخدم بشكل شائع لحزم تطبيقات Python للتوزيع على الأنظمة دون تثبيت Python، ولكن كثيرًا ما يتم إساءة استخدامها من قبل مؤلفي البرامج الضارة نظرًا لقدرتها على تشويش شفرة مصدر Python وتبعيات الحزمة.

إصدار بايثون: 3.13 (الإصدار الأخير، يشير إلى التطوير النشط)
تقنيات الترميز: سلاسل Base64 المشفرة التي تحتوي على أنماط regex وبيانات التكوين
مؤشرات الثبات: مراجع مفاتيح تسجيل Windows لوظيفة التشغيل التلقائي
مراجع API للحافظة: واردات وظيفة win32clipboard

عملية التفريغ والتفكيك

المرحلة 1: استخراج أرشيف PyInstaller

استخدام pyinstxtractor.py أداة، استخرج فريق البحث أرشيف PyInstaller المضمن، مما أسفر عن ما يقرب من 100 مكون فردي:

Component Category	Key Files	Purpose
Core Payload	clipboard_guard_obfuscated.pyc	Primary malicious logic
PyInstaller Runtime	bootstrap.py, importers.py, ctypes.py	Environment initialization
Windows API Bindings	api-ms-win-core-*.dll	System API access
Python Standard Library	base_library.zip	Embedded Python modules
Crypto Libraries	libcrypto-3.dll.pyc	OpenSSL bindings (unused in this build)

المرحلة 2: إزالة التشويش على رمز البايت

خضع ملف clipboard_guard_obfuscated.pyc المستخرج لفك التحويل البرمجي باستخدام pychaos.io خدمة إزالة التشويش. قامت هذه العملية بتحويل شفرة بايثون الغامضة مرة أخرى إلى شفرة مصدر قابلة للقراءة، مما يكشف عن المنطق التشغيلي الكامل للبرامج الضارة.

حدد التحليل الملفات ذات الأولوية ذات أنماط التسمية المشبوهة مع استبعاد وحدات المكتبة القياسية الحميدة (على سبيل المثال، calendar.pyc و email.pyc) ومكونات البنية التحتية لـ PyInstaller.

التحليل السلوكي للبرامج الضارة

المرحلة 1: إنشاء التهيئة والمثابرة

عند التنفيذ، تقوم البرامج الضارة بتنفيذ تسلسل التهيئة التالي:

تسجيل بدء التشغيل: يقوم بإنشاء إدخال السجل: «تم بدء تشغيل CryptoClipboardGuard».
إنشاء الدليل: يقوم بإنشاء %APPDATA%\ CryptoClipboardGuard\ إذا لم يكن موجودًا
استمرار التسجيل: يكتب إدخال التشغيل التلقائي إلى سجل Windows:
1. مفتاح: HKCU\ البرامج\ ميكروسوفت\ ويندوز\ الإصدار الحالي\ تشغيل
2. اسم القيمة: كريبتو كليبورد جارد
3. بيانات القيمة: المسار الكامل للبرامج الضارة القابلة للتنفيذ

‍

تضمن آلية الثبات هذه تنفيذ البرامج الضارة تلقائيًا عند كل بدء تشغيل للنظام، مع الحفاظ على المراقبة المستمرة للحافظة دون الحاجة إلى تفاعل المستخدم.

المرحلة 2: المراقبة المستمرة للحافظة

تدخل البرامج الضارة في حلقة لا نهائية لتنفيذ دورة المراقبة التالية:

كرر كل 300 مللي ثانية:

افتح الحافظة (حافظة Win32. افتح الحافظة ())
قراءة محتوى الحافظة الحالي (احصل على بيانات الحافظة (CF_TEXT))
فك شفرة بيانات الحافظة (UTF-8) ومقارنتها مع حالة الحافظة السابقة
في حالة تغيير المحتوى: انتقل إلى مرحلة الاكتشاف

‍

توفر فترة الاستقصاء التي تبلغ 300 مللي ثانية (حوالي 3 فحوصات في الثانية) اكتشافًا في الوقت الفعلي تقريبًا مع الحفاظ على انخفاض استخدام وحدة المعالجة المركزية لتجنب الاكتشاف من خلال مراقبة الأداء.

المرحلة 3: اكتشاف عنوان العملة المشفرة

عند اكتشاف محتوى حافظة جديد، يقوم البرنامج الضار بتطبيق التعبيرات العادية المشفرة باستخدام base64 لتحديد عناوين محفظة العملات المشفرة. تدعم البرامج الضارة ستة تنسيقات للعملات المشفرة

Cryptocurrency	Address Pattern	Example Attacker Wallet
Bitcoin (BTC)	bc1[a-zA-Z0-9]{39,59}	bc1qz7jvkt7ex47x2nqm5mzkpaetff6sxmr75uyez
Ethereum (ETH)	0x[a-fA-F0-9]{40}	0x43726m3E8C97d8A9F0cdE1B1ad77A63E1c2Ef41c
Solana (SOL)	[1-9A-HJ-NP-Za-km-z]{32,44}	EDEQ72ExGfXMTENKHA1TsezvWMA8xKzgKgQtNP1E1at
Dogecoin (DOGE)	D[5-9A-HJ-NP-U][1-9A-HJ-NP-Za-km-z]{32}	D634A6aAXMYT7KYqZPXFMoajKHVLgetk
Litecoin (LTC)	ltc1[a-zA-Z0-9]{39,59}	ltc1qq7a80tz3geqx32nfgng0uc2cv6l3l48vyqwem
Tron (TRX)	T[A-Za-z1-9]{33}	TZ1p3c9ydQzSTWXVMYT9vfrchCpiwEBCX

يعد استخدام ترميز base64 لأنماط regex بمثابة تقنية تشويش أساسية لتعقيد التحليل الثابت وتقليل الاكتشاف المستند إلى التوقيع.

‍

المرحلة 4: اختطاف الحافظة وتسجيلها

عند اكتشاف عنوان المحفظة بنجاح، تنفذ البرامج الضارة هجوم الاستبدال:

استبدال العنوان: يستبدل الحافظة بعنوان المحفظة المقابل الذي يتحكم فيه المهاجم
تحديث الحافظة: يستخدم Win32clipboard.setClipboardText () لتعديل محتوى الحافظة
تسجيل النشاط: إلحاق المعاملة بـ %APPDATA%\ كريبتوكليبورد جارد\ activity.log:

[YYYY-MM-DD HH:MM:SS] تم استبدال عنوان التشفير: [عنوان_الضحية الأصلي] -> [عنوان المهاجم]

تخدم آلية التسجيل هذه أغراضًا متعددة:

يسمح لممثل التهديد بتتبع الإصابات الناجحة
يوفر بيانات الإحالة للضحايا المعرضين للخطر
تمكن الممثل من مراقبة فعالية السرقة وحجم المعاملات
يقوم بإنشاء أدلة الطب الشرعي التي يمكن استردادها أثناء الاستجابة للحوادث

تقنيات التهرب وآليات مكافحة الكشف

تطبق البرامج الضارة العديد من الخصائص التي تقلل من ملف تعريف الكشف الخاص بها:

1. لا يوجد اتصال بالشبكة: على عكس البرامج الضارة التقليدية، تعمل أداة قص الشعر هذه دون اتصال بالإنترنت تمامًا بدون بنية أساسية للأوامر والتحكم (C2). يؤدي ذلك إلى التخلص من ناقلات الكشف المستندة إلى الشبكة وتقليل البصمة الإجمالية للبرامج الضارة في سجلات الأمان.

2. الحد الأدنى من بصمة النظام: تؤدي الوظائف المركزة للبرامج الضارة إلى استخدام منخفض للغاية لوحدة المعالجة المركزية والذاكرة. أثناء التشغيل العادي، يستهلك الجهاز الحد الأدنى من موارد النظام، مما يجعل من غير المحتمل تشغيل تنبيهات الأمان المستندة إلى الأداء.

3. لا توجد واجهة المستخدم الرسومية أو تفاعل المستخدم: تعمل البرامج الضارة بصمت في الخلفية دون عرض النوافذ أو مربعات الحوار أو الإشعارات. يظل الضحايا غير مدركين تمامًا لوجودها حتى تحدث السرقة المالية.

4. نافذة التشغيل المستهدفة: تستهدف البرامج الضارة على وجه التحديد النافذة الضيقة بين الوقت الذي ينسخ فيه المستخدم عنوان العملة المشفرة ووقت لصقه في حقل المعاملات. هذا التوقيت يجعل الاكتشاف اليدوي شبه مستحيل أثناء العمليات العادية.

5. استراتيجية العلامة التجارية الكاذبة: من خلال التنكر باسم «RedLine»، تستفيد البرامج الضارة من الإسناد الخاطئ. قد تصنفه فرق الأمان بشكل غير صحيح على أنه متغير من عائلة RedLine Stealer الموثقة جيدًا، مما قد يطبق قواعد اكتشاف غير مناسبة أو يقلل من قدراته المحددة.

مؤشرات التسوية (IOCs)

File & Hash Indicators

Indicator Type	Value	Context
SHA-256	0d6e83e240e41013a5ab6dfd847c689447755e8b162215866d7390c793694dc6	Primary sample (Pro.exe/peeek.exe)
SHA-256	d011068781cfba0955258505dbe7e5c7d3d0b955e7f7640d2f1019d425278087	Related ClipBanker variant observed in the wild
File Path	%APPDATA%\CryptoClipboardGuard\activity.log	Clipboard swap activity log with timestamps
Directory	%APPDATA%\CryptoClipboardGuard\	Persistence directory created by malware

Registry-Based Indicators

Location	Key/Value	Description
HKCU\Software\Microsoft\Windows\CurrentVersion\Run	CryptoClipboardGuard	Autostart persistence mechanism

Behavioral Indicators

Indicator Type	Description	Detection Method
API Calls	win32clipboard.OpenClipboard, GetClipboardData, SetClipboardText	EDR behavioral monitoring
Polling Pattern	300 ms continuous clipboard polling	Process monitoring - API call frequency analysis
Registry Operations	winreg module usage for persistence	Registry monitoring tools
Pattern Matching	re.compile(regex) and base64 decoding operations	Memory analysis - String extraction

مؤشرات الشبكة

ملاحظة: يعمل متغير البرامج الضارة هذا بدون اتصال بالشبكة. لم تتم ملاحظة أي بنية أساسية لـ C2 أو استعلامات DNS أو اتصالات خارجية أثناء التحليل.

مؤشرات محفظة العملات المشفرة

حرجة: قم بحظر عناوين المحفظة هذه على المستوى التنظيمي حيثما أمكن ذلك

Cryptocurrency	Attacker-Controlled Wallet Address
Bitcoin (BTC)	bc1qz7jvkt7ex47x2nqm5mzkpaetff6sxmr75uyez
Ethereum (ETH)	0x43726m3E8C97d8A9F0cdE1B1ad77A63E1c2Ef41c
Solana (SOL)	EDEQ72ExGfXMTENKHA1TsezvWMA8xKzgKgQtNP1E1at
Dogecoin (DOGE)	D634A6aAXMYT7KYqZPXFMoajKHVLgetk
Litecoin (LTC)	ltc1qq7a80tz3geqx32nfgng0uc2cv6l3l48vyqwem
Tron (TRX)	TZ1p3c9ydQzSTWXVMYT9vfrchCpiwEBCX

‍

التصنيف عبر موردي الأمان

تصنف محركات مكافحة الفيروسات المتعددة عائلة البرامج الضارة هذه ضمن اصطلاحات تسمية مختلفة:

التصنيفات العامة: حصان طروادة. كليب بانكر، حصان طروادة. win32. ClipBanker
علي بابا: حصان طروادة. psw.Win32.coins.75E4c0cf
أفيرا: tr/ava.agent.vfeja
كراود سترايك: فوز/ثقة خبيثة_ 100٪
كاسبيرسكي: تروجان بانكر. win32. كليب بانكر
بت ديفندر: حصان طروادة. كليبانكر

رسم خرائط إطار عمل MITRE ATT&CK

إن فهم تكتيكات الخصم وتقنياته وإجراءاته من خلال إطار MITRE ATT&CK يمكّن فرق الأمن من تنفيذ استراتيجيات الكشف والوقاية المستهدفة.

Tactic	Technique ID	Technique Name	Implementation Details
Initial Access	T1566.001	Phishing: Spearphishing Attachment	Discord-based social engineering in crypto/gaming communities; malware distributed as "streaming tool"
Execution	T1204.002	User Execution: Malicious File	Victims manually execute the EXE believing it provides cryptocurrency protection functionality
Persistence	T1547.001	Boot or Logon Autostart Execution: Registry Run Keys	HKCU\Software\Microsoft\Windows\CurrentVersion\Run "CryptoClipboardGuard" entry ensures execution on system startup
Collection	T1115	Clipboard Data	Continuous 300ms polling of clipboard via win32clipboard API; captures cryptocurrency addresses via regex patterns for BTC, ETH, SOL, DOGE, LTC, TRX
Impact	T1565.001	Data Manipulation: Stored Data Manipulation	Real-time replacement of clipboard contents with attacker-controlled wallet addresses during transaction attempts

فرص الكشف والصيد

استنادًا إلى TTPs المحددة، يمكن لفرق الأمان تنفيذ استراتيجيات الكشف التالية:

1. مراقبة التسجيل (T1547.001):

مراقبة التسجيل الجديد: تشغيل الإضافات الرئيسية:
HKCU\ البرامج\ ميكروسوفت\ ويندوز\ الإصدار الحالي\ تشغيل\ *
عامل التصفية: مسارات قابلة للتنفيذ غير متوقعة، خاصة في %APPDATA%

2. مراقبة واجهة برمجة تطبيقات الحافظة (T1115):

راقب العمليات التي تجري مكالمات متكررة إلى:
- افتح الحافظة ()
- احصل على بيانات الحافظة ()
- تعيين نص الحافظة ()
يشير الاقتراع عالي التردد (عدة مرات في الثانية) إلى نشاط المقص المحتمل

3. تحليل سلوك العملية:

تحديد العمليات التي تعرض:
- مراقبة مستمرة للحافظة بدون واجهة مستخدم شرعية
- إنشاء أدلة تسجيل في %APPDATA%
- أنماط تجميع Regex المطابقة لتنسيقات عناوين العملات المشفرة

قواعد الكشف واستعلامات الصيد

قاعدة YARA لمقصات الشعر القائمة على PyInstaller:

قاعدة سيجما للكشف عن استمرار التسجيل:

توقعات التهديدات المستقبلية

‍

استنادًا إلى هذا التحليل، تقيّم Intel Threat من CloudSek بثقة متوسطة ما يلي:

ستستمر البرامج الضارة لاختطاف الحافظة التي تستهدف مستخدمي العملات المشفرة في الانتشار بسبب الحواجز التقنية المنخفضة والربحية العالية
ستظل الهندسة الاجتماعية من خلال مجتمعات الألعاب والبث ناقل التوزيع الأساسي
سوف تتبنى الجهات الفاعلة في مجال التهديد بشكل متزايد تكتيكات العلم الكاذب، وتقليد عائلات البرامج الضارة القائمة لتعقيد الإسناد والتحليل
سيصبح غياب البنية التحتية لـ C2 في تصميمات البرامج الضارة أكثر شيوعًا حيث تعطي الجهات الفاعلة الأولوية للتهرب على القدرات المتقدمة

يجب على المؤسسات العاملة في قطاعات العملات المشفرة والألعاب والبث المباشر إعطاء الأولوية لاستراتيجيات الدفاع المتعمقة التي تجمع بين الضوابط الفنية وتعليم المستخدم وتكامل استخبارات التهديدات للتخفيف بشكل فعال من مشهد التهديدات المتطور هذا

‍

المراجع

‍

الملحق

*لقطة من معلومات المساعدة الفنية على منصة Intel الخاصة بتهديد CloudDesk*

‍

CloudSEK Threat Intelligence

CloudSEK's Threat Intelligence team, a group of cybersecurity experts led by Koushik Sivaraman, primarily focuses on the research and analysis of threat intelligence related to threat actors, malware, vulnerability/ exploitation, data breach incidents, etc.

No items found.