🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
الصفحة الرئيسية
مراكز استخبارات التهديدات
ذكاء البرامج الضارة

حصان طروادة Ekipa Remote Access صممه نشطاء القرصنة الروس من أجل «الهجمات المستهدفة»

اكتشف xviGil جهة تهديد تعلن عن ماكرو RAT (حصان طروادة للوصول عن بُعد) يُطلق عليه اسم «Ekipa»، تم إنشاؤه بواسطة ناشطي القرصنة الروس.
تم التحديث بتاريخ
April 17, 2026
تم النشر في
July 7, 2022
اقرأ الدقائق
5
اشترك في أحدث أخبار الصناعة والتهديدات والموارد.
الفئة: ذكاء البرامج الضارةالنوع: حصان طروادة للوصول البعيدالصناعة: متعددالمنطقة: عالمي

ملخص تنفيذي

تهديدتأثيرتخفيف
  • قام نشطاء القرصنة الروس بتصميم Ekipa RAT للهجمات المستهدفة.
  • RAT قادر على استخراج معلومات النظام وتنفيذ الأوامر وتحميل الملفات عن بُعد.
  • زيادة خطر انتشار البرامج الضارة على أنظمة AV/Defender التي تم تجاوزها.
  • توفير امتيازات النظام الأعلى.
  • حافظ على تحديث إصدارات AV/Defender.
  • تجاهل النقر على أي روابط مشبوهة.

التحليل والإسناد

معلومات من البريد

  • في 10 فبراير 2022، كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشف جهة تهديد تعلن عن ماكرو RAT (حصان طروادة للوصول عن بُعد) يُطلق عليه اسم «Ekipa»، تم إنشاؤه بواسطة ناشطي القرصنة الروس.
  • تم تصميم Ekipa بشكل أساسي من أجل «الهجمات المستهدفة»، أي لاستخدامها ضد أي شخص يرفض قبول المعتقدات السياسية الروسية.
  • السعر المعلن لـ RAT هو 3,000 دولار أمريكي ويمكن الاتصال بالممثل عبر XMPP.
[معرف التسمية التوضيحية = «المرفق 19909" align= «aligncenter» العرض = «1750"]The crux of the threat actor’s post on the forum جوهر مشاركة ممثل التهديد في المنتدى [/caption]

حول إيكيبا

  • Ekipa (كلمة عامية تعني «المعدات») هي إضافة MS Word Macro/Excel، وهي مزودة بتقنية AMSI ومحمل غير مقيم بوظائف متصفح الملفات.
  • يعمل عن بعد ولا يوجد على ذاكرة الوصول العشوائي للضحية.
  • يبدو أنها لوحة تحكم، ومع ذلك، تعمل بمثابة RAT قوي مع نصوص Visual Basic (VB) المضمنة.
  • تعمل قوالب ماكرو VB كنقطة ارتكاز لـ Ekipa وهي قادرة على استخراج تفاصيل الضحية.
  • FUD (غير قابل للكشف تمامًا) RAT، كما هو موضح في عدة ملفات فحوصات مكافحة الفيروسات، في PoC.

ناقل الهجوم

  • تم تجهيز RAT بمنشئ واجهة المستخدم الرسومية، لتحديد النظام المستهدف.
  • نقطة البداية للهجوم هي مستند Word/Excel مصاب تم إنشاؤه بواسطة المهاجم.
[معرف التسمية التوضيحية = «المرفق _19910" aligncenter «العرض = «312"]Application add-in prompt to be enabled for MS Excel سيتم تمكين موجه الوظيفة الإضافية للتطبيق لبرنامج MS Excel [/caption]
  • يحتوي نموذجان XML على تعليمات لاستخراج المعلومات الجغرافية وتفاصيل النظام الخاصة بالهدف.
  • يتم إدخالها في مستند Word/Excel.
  • خطوات الهجوم هي نفسها لكليهما، ومع ذلك، يجب تمكين الوظائف الإضافية للتطبيق لبرنامج Excel.
  • يتم استخدام CVE 2021-26411، أي الاستخدام بعد ثغرة تلف الذاكرة الخالية على Internet Explorer، للرافعة المالية.
  • يتم ترميز الاستغلال في القالب، والذي يتم استخدامه بعد ذلك لتشغيل RAT.
  • ناقل الهجوم الذي تم استغلاله هو حقن القالب عن بُعد.

طريقة العمل

قدمت PoC (إثبات المفهوم) العاملة من الإعلان طريقة العمل التالية:
  • يتلقى الضحية مستندًا بسيطًا يحتوي على خطاب يحض على الكراهية أو بعض أجندة القرصنة الموصوفة باللغة الإنجليزية أو الروسية.
  • عند فتح المستند، يتم إدخال قالب ماكرو عن بُعد، مما يسمح بسحب المعلومات من النظام الهدف.
  • يتم تسجيل المعلومات بواسطة لوحة Ekipa ويتم تقديمها للمهاجم.
[معرف التسمية التوضيحية = «المرفق _19911" aligncenter «العرض ="824"]Ekipa panel on the threat actor’s side recording target information لوحة Ekipa على جانب ممثل التهديد تسجل معلومات الهدف [/caption]
  • باستخدام قسم الزرع، يمكن للمهاجم زيادة الاستفادة من وصوله الأولي إلى النظام المخترق لتشغيل الأوامر أو تحميل الملفات عن بُعد.
    • تصور الصورة أدناه محاولة لفتح اتصال عن بعد على المضيف المخترق، عن طريق تنزيل تطبيق عميل PuTTY على المضيف المخترق.
[معرف التسمية التوضيحية = «المرفق 19912" align= «aligncenter» width="206"]Attacker attempting to open a remote connection on the compromised host مهاجم يحاول فتح اتصال عن بعد على المضيف المخترق [/caption]
    • تصور الصورة أدناه محاولة لتنفيذ الأوامر عن بعد عبر لوحة GUI C-Panel، باستخدام الأمر «shutdown».
[معرف التسمية التوضيحية = «المرفق 19913" align= «aligncenter» width="222"]Attacker executing the “shutdown” command مهاجم يقوم بتنفيذ أمر «إيقاف التشغيل» [/caption]

مشاكل

  • من عيوب RAT هذا أنه يعمل فقط عند تمكين وحدات الماكرو.
  • مع قيام Microsoft Office بتعطيل وحدات الماكرو إلى أجل غير مسمى، أصبح TTP الخاص بـ Ekipa أقل بروزًا الآن.

التحفيز المحتمل

تشمل دوافع الفاعل في مجال التهديد وراء تطوير ومشاركة RAT ما يلي:
  • نشر الأجندة السياسية الروسية ضد أعدائها خلال حرب روسيا وأوكرانيا
  • تسريب المعلومات الحساسة
  • الحصول على إمكانية الوصول إلى النظام عن بُعد

الإشارات في المنتديات الأخرى

  • تم تحديد منشور مماثل (مكتوب باللغة الروسية) من قبل نفس الممثل في 8 فبراير 2022، في منتدى إلكتروني سري باللغة الإنجليزية.
[معرف التسمية التوضيحية = «المرفق 19914" align= «aligncenter» العرض = «1680"]A similar post was made on another underground cybercrime forum, advertising the Ekipa service. تم نشر منشور مماثل في منتدى سري آخر للجرائم الإلكترونية، للإعلان عن خدمة Ekipa. [/التسمية التوضيحية]
  • أشارت إحدى التغريدات أيضًا إلى RAT، ولكن لم تتم ملاحظة أي مناقشة أخرى.
[معرف التسمية التوضيحية = «المرفق _19915" aligncenter «العرض ="898"]Screenshot from Twitter, mentioning the Malwarebytes report on the Ekipa RAT لقطة شاشة من تويتر، تشير إلى تقرير Malwarebytes على Ekipa RAT [/caption]

التأثير والتخفيف

التأثيرالتخفيف
  • يمكن أن يؤدي توفير امتيازات أعلى على النظام إلى حدوث تغييرات غير مرغوب فيها في النظام.
  • تسريب المعلومات الحساسة من الأنظمة المخترقة.
  • القدرة على تشغيل الأوامر الضارة أو تحميل ملفات البرامج الضارة عن بُعد.
  • قم بتطبيق أقل الامتيازات على أنظمة الكمبيوتر واستخدم امتيازات root/admin فقط عند الحاجة.
  • راقب جميع عمليات الوصول إلى الشبكة، من/إلى أنظمة الكمبيوتر.
  • تحقق من السلوك غير الطبيعي، في حالة مواجهة أي سلوك، على أنظمة الكمبيوتر.

تم اختبار مزودي الأمان ضد Ekipa

تم تجاوز مزودي برامج مكافحة الفيروس/الأمانبرنامج Avgavasta Virabit Defender BullGuard كومودور DR-WEBF-Secureg-Dataka Kaspersky البرامج الضارة من TesmCafeenoD32 Norton باندا symantec Trend MicroWindows Defender

تاريخ النطاقات التي تم الاتصال بها

قائمة المجالات التي اتصلت بها Ekipahttps [:] //المستندات السحابية [.] com/https [:] //cloud-documents.com/doc// docustion=load_document/ document=document=show_content

التفاصيل المستخرجة من Ekipa

التفاصيل التي تم إرجاعها بواسطة قوالب الماكرواسم مؤشر الترابط (القدرة على إنشاء سلاسل رسائل بأسماء مختلفة لأغراض مختلفة) التقاط عنوان IP للجهاز المستهدف/البلد/المدينة/إصدار Windows والعمليات: عمق البت MS Word/Exceldomain واسم المستخدم/قائمة برامج مكافحة الفيروسات المثبتة وحالتها ومدى ملاءمتها للتحديثات/الشركة المصنعة لوحدة المعالجة المركزية ووحدة معالجة الرسومات وطرازها، مع سعة ذاكرة الوصول العشوائي (RAM): إجمالي كمية محركات الأقراص والمساحة الخالية عليها/File BrowserView الملفات والأدلة على الكمبيوتر المستهدف/ تنزيل الملفات والمجلدات إلى/من الهدف جهاز كمبيوتر شخصي كأرشيف .zip يصل حجمه إلى 2 جيجابايت - حذف الملفات وإعادة تسميتها ونقلها على الكمبيوتر المستهدف: تشغيل الملفات القابلة للتنفيذ .exe، .dll، إلخ. تنفيذ أوامر سطر الأوامر التعسفية

مؤشرات التسوية

إم دي 5 هاشa0b9a840adaba6664e7d26619 c20 bbd1224 cb9048 f8743986 b552 d04f9e804هاش شا-10ac675e26b140a0 سرير f314799423 d015f49f9a9 a9f43567 c37e030c07f8ab66f373f378b38bd14c92fشا-25603eb08a930 bb464837 ed77 df6c66651d526 bab1560e7e6e0e8466 ab23856bac0661fc4eb09e99b4d8e282d5ffa6b243f6acc02870f9414f9328721010a

المراجع

الملحق

[معرف التسمية التوضيحية = «المرفق 19916" align= «aligncenter» width="1679"]XML templates injected into the Word/Excel document قوالب XML التي تم إدخالها في مستند Word/Excel [/caption] [معرف التسمية التوضيحية = «المرفق 19917" align= «aligncenter» width="1143"]Security vendor rating of hashes associated with the Ekipa RAT تصنيف بائع الأمان للتجزئة المرتبطة بـ Ekipa RAT [/caption] [معرف التسمية التوضيحية = «المرفق 19918" align= «aligncenter» width="958"]Security vendor rating of hashes associated with the Ekipa RAT تصنيف بائع الأمان للتجزئة المرتبطة بـ Ekipa RAT [/caption] [معرف التسمية التوضيحية = «المرفق _19919" align= «alignnone» width="1048"]A satisfied customer’s review from the forum مراجعة العملاء الراضين من المنتدى [/caption] ترجمة المراجعة - «لقد اشتريت المنتج واختبرته، تعمل الوظيفة المعلنة بنسبة 100٪ دعم ممتاز في جميع مراحل التنفيذ، تم حل جميع الصعوبات التي نشأت (من جانبي) بنجاح وبسرعة».
CloudSek Platform عبارة عن منصة خالية من التعليمات البرمجية تعمل على تشغيل منتجاتنا بقدرات تحليلية تنبؤية للتهديدات.
المشاركات الأخيرة

المقالات الأخيرة

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

احصل على معلومات التهديدات العالمية في الوقت الفعلي

قم بحماية عملك من التهديدات الإلكترونية باستخدام بيانات معلومات التهديدات العالمية في الوقت الفعلي.. تجربة مجانية لمدة 30 يومًا وبدون التزام.
جدولة عرض تجريبي
بيانات معلومات التهديدات في الوقت الحقيقي
مزيد من المعلومات والسياق حول الدردشة تحت الأرض
خدمات البحث حسب الطلب
نموذج لوحة القيادة
موجز معلومات التهديدات العالمية

قم بالحماية والمضي قدمًا الذكاء القابل للتنفيذ

إن Global Cyber Threat Intelligence Feed عبارة عن منصة مبتكرة تجمع المعلومات من مصادر مختلفة لمساعدة الشركات والمؤسسات على البقاء في صدارة الهجمات الإلكترونية المحتملة. توفر هذه الخلاصة تحديثات في الوقت الفعلي للتهديدات الإلكترونية، بما في ذلك البرامج الضارة وعمليات الاحتيال الاحتيالي وغيرها من أشكال الجرائم الإلكترونية.
موثوق بها من قبل أكثر من 400 مؤسسة رائدة
ابدأ
تعرف على المزيد