🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي

نصائح إنتل حول تهديد البرامج الضارة بكوبالت سترايك

تعمل المشورة الاستخبارية الخاصة بالتهديدات من CloudSek بشأن البرامج الضارة Cobalt Strike التي تقدمها مجموعة APT الإيرانية MuddyWater على تسليح مستندات Word.
Updated on
August 19, 2025
Published on
December 31, 2020
Read MINUTES
5
Subscribe to the latest industry news, threats and resources.
استشارة
ذكاء البرامج الضارة
الجهات الفاعلة المحتملة في مجال التهديد
مياه مودي
المنصة المستهدفة
شبابيكمن المحتمل أن تستخدم APT MuddyWater الإيرانية سلسلة جديدة من البرامج الضارة. يعمل المتغير الجديد على تسليح مستندات Word المضمنة بوحدات الماكرو الضارة التي يتم إرسالها إلى الضحايا كجزء من هجوم التصيد الاحتيالي. تقوم وحدات الماكرو بعد ذلك بتشغيل برنامج Powershell النصي الذي يقوم بمزيد من التنزيلات و x. يقوم البرنامج النصي Powershell الثاني بتنزيل صورة شرعية تحتوي على برنامج Cobalt Strike الضار المشفر في وحدات البكسل في الصورة.

تنفيذ البرامج الضارة

عندما يتم تنفيذ البرامج الضارة في البيئة المصابة، فإنها تطلق برنامج Powershell النصي الذي يقوم أيضًا بتنزيل برنامج Powershell الثاني الذي يتم استضافته على Github.يقوم البرنامج النصي Powershell بعد ذلك بتنزيل صورة [PNG] من منصة استضافة الصور Imgur.com، والتي تخفي حمولة Cobalt Strike المشفرة في وحدات البكسل الخاصة بها. بعد تنزيل الصورة، يقوم البرنامج النصي Powershell بفك تشفير الحمولة التي تمكّن بدورها منارة Cobalt Strike من الاتصال بالبنية التحتية للمهاجمين. تتنكر كوبالت سترايك في زي إيكار، وهو ملف اختبار لمكافحة البرامج الضارة، للاتصال بخادم C2.الحساب الذي يحمل البرنامج النصي Powershell على Github.Powershell script on Github

التكتيكات والتقنيات والإجراءات

التكتيكات
تقنيات
الوصول الأوليT1566.001التصيد الاحتيالي: مرفق سبير للتصيد الاحتياليالتنفيذT1059.001مترجم الأوامر والبرمجة: PowerShellالتهرب الدفاعيT1140إزالة التشويش/فك تشفير الملفات أو المعلوماتT1027.003ملفات أو معلومات غامضة: ستيجنوغرافياالقيادة والتحكمT1001.002تشويش البيانات: الستيجنوغرافيا

مؤشرات التسوية

  • d1c7a7511bd09b53c651f8cc43e9c361b36b80265 ba11164 f88d6863 f0832d8f81
  • ED93CE9F84DBEA 3C070B8E03B82B95EB0944C6444D967820a890E8218B866
  • المجال: المنفذ: ميزون 1234-44451 [.] خريطة المنفذ [.] المضيف: 44451
  • الموقع الإلكتروني: hxp: //مازيون1234-44451. portmap.host/fvro

التأثير

التأثير الفني:
  • البرامج الضارة مسؤولة عن تنزيل برامج Cobalt Strike الضارة
  • يمكن أن تؤدي البرامج الضارة إلى مزيد من الهجمات على الضحايا
تأثير الأعمال:
  • انتهاك الخصوصية
  • يتعرض الضحايا لهجمات أخرى

التخفيف

  • كن حذرًا مع أي مرفق يتم تسليمه عبر رسائل البريد الإلكتروني
  • ابق على اطلاع بأحدث التصحيحات
  • تطبيق سياسات فعالة للتحكم في التطبيقات

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
جدولة عرض تجريبي
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations