نصائح إنتل حول تهديد البرامج الضارة بكوبالت سترايك

تعمل المشورة الاستخبارية الخاصة بالتهديدات من CloudSek بشأن البرامج الضارة Cobalt Strike التي تقدمها مجموعة APT الإيرانية MuddyWater على تسليح مستندات Word.

Updated on

August 19, 2025

Published on

December 31, 2020

Read MINUTES

Subscribe to the latest industry news, threats and resources.

Table of Contents

This is also a heading
This is a heading

استشارة

ذكاء البرامج الضارة

الجهات الفاعلة المحتملة في مجال التهديد

مياه مودي

المنصة المستهدفة

شبابيكمن المحتمل أن تستخدم APT MuddyWater الإيرانية سلسلة جديدة من البرامج الضارة. يعمل المتغير الجديد على تسليح مستندات Word المضمنة بوحدات الماكرو الضارة التي يتم إرسالها إلى الضحايا كجزء من هجوم التصيد الاحتيالي. تقوم وحدات الماكرو بعد ذلك بتشغيل برنامج Powershell النصي الذي يقوم بمزيد من التنزيلات و x. يقوم البرنامج النصي Powershell الثاني بتنزيل صورة شرعية تحتوي على برنامج Cobalt Strike الضار المشفر في وحدات البكسل في الصورة.

تنفيذ البرامج الضارة

عندما يتم تنفيذ البرامج الضارة في البيئة المصابة، فإنها تطلق برنامج Powershell النصي الذي يقوم أيضًا بتنزيل برنامج Powershell الثاني الذي يتم استضافته على Github.يقوم البرنامج النصي Powershell بعد ذلك بتنزيل صورة [PNG] من منصة استضافة الصور Imgur.com، والتي تخفي حمولة Cobalt Strike المشفرة في وحدات البكسل الخاصة بها. بعد تنزيل الصورة، يقوم البرنامج النصي Powershell بفك تشفير الحمولة التي تمكّن بدورها منارة Cobalt Strike من الاتصال بالبنية التحتية للمهاجمين. تتنكر كوبالت سترايك في زي إيكار، وهو ملف اختبار لمكافحة البرامج الضارة، للاتصال بخادم C2.الحساب الذي يحمل البرنامج النصي Powershell على Github. Powershell script on Github

التكتيكات والتقنيات والإجراءات

التكتيكات

تقنيات

الوصول الأوليT1566.001التصيد الاحتيالي: مرفق سبير للتصيد الاحتياليالتنفيذT1059.001مترجم الأوامر والبرمجة: PowerShellالتهرب الدفاعيT1140إزالة التشويش/فك تشفير الملفات أو المعلوماتT1027.003ملفات أو معلومات غامضة: ستيجنوغرافياالقيادة والتحكمT1001.002تشويش البيانات: الستيجنوغرافيا

مؤشرات التسوية

d1c7a7511bd09b53c651f8cc43e9c361b36b80265 ba11164 f88d6863 f0832d8f81
ED93CE9F84DBEA 3C070B8E03B82B95EB0944C6444D967820a890E8218B866
المجال: المنفذ: ميزون 1234-44451 [.] خريطة المنفذ [.] المضيف: 44451
الموقع الإلكتروني: hxp: //مازيون1234-44451. portmap.host/fvro

التأثير

التأثير الفني:

البرامج الضارة مسؤولة عن تنزيل برامج Cobalt Strike الضارة
يمكن أن تؤدي البرامج الضارة إلى مزيد من الهجمات على الضحايا

تأثير الأعمال:

انتهاك الخصوصية
يتعرض الضحايا لهجمات أخرى

التخفيف

كن حذرًا مع أي مرفق يتم تسليمه عبر رسائل البريد الإلكتروني
ابق على اطلاع بأحدث التصحيحات
تطبيق سياسات فعالة للتحكم في التطبيقات

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

Table of Contents

This is also a heading
This is a heading

Recent Articles

مطالبة Cowin بتسريب البيانات وتحليل CloudSek

June 12, 2023

تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS

May 29, 2023

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.

جدولة عرض تجريبي

Real time Threat Intelligence Data

More information and context about Underground Chatter

On-Demand Research Services

Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.

Trusted by 400+ Top organisations

Get started

Learn more