داخل آلة فدية ماكوب: كيف يتفوق مجرمو الإنترنت على الدفاعات ويستغلون نقاط ضعف RDP

العنوان الفرعي: جيل جديد من هجمات فدية ماكوب يرفع مستوى التهديد من خلال تسليح أدوات قتل مضادات الفيروسات واستغلالات متقدمة لاختراق المؤسسات العالمية.

يبدأ الأمر بكلمة مرور ضعيفة واحدة - حساب سطح مكتب بعيد تم تجاهله، أو خادم منسي مكشوف على الإنترنت. فجأة، يصبح العالم الرقمي لشركة ما رهينة. هذه هي الحقيقة المتزايدة لعدد متنامٍ من المؤسسات المستهدفة من قبل ماكوب، مجموعة الفدية التي تصعد الرهان بتكتيكات جديدة ماكرة مصممة لتجاوز الدفاعات وشل الأعمال قبل أن تدرك حتى ما أصابها.

حقائق سريعة

يستغل فدية ماكوب أنظمة RDP (بروتوكول سطح المكتب البعيد) المكشوفة كنقاط دخول رئيسية.
يستخدم المهاجمون أدوات قتل مضادات الفيروسات وتقنيات BYOVD (إحضار برنامج تشغيل ضعيف خاص بك) لتعطيل برامج الأمان.
أكثر من نصف هجمات ماكوب المرصودة تستهدف مؤسسات هندية.
يتم الآن استخدام GuLoader، وهو برنامج تنزيل برمجيات خبيثة سيء السمعة، لتسليم حمولات فدية ماكوب.
تمكن أدوات تفريغ بيانات الاعتماد واستغلالات تصعيد الامتيازات من الحركة الجانبية السريعة والاستمرارية.

دليل ماكوب: من RDP إلى الفدية

ماكوب ليست مجرد نوع آخر من برامج الفدية - إنها عملية احترافية بمجموعة أدوات تتطور بسرعة. كشفت تحقيقات الباحثين الأمنيين أن مشغلي ماكوب خبراء في البراغماتية: يتخلون عن الأهداف الصعبة ويركزون طاقتهم حيث تكون الحماية أضعف. سلسلة هجومهم منهجية: أولاً، يقومون بهجمات القوة الغاشمة على تسجيلات دخول RDP باستخدام أدوات مثل NLBrute، مستغلين كلمات المرور الضعيفة أو المعاد استخدامها. بمجرد الدخول، يقوم المهاجمون بمسح الشبكة باستخدام أدوات مثل NetScan وAdvanced IP Scanner لتحديد الأهداف القيمة ورسم خريطة للبنية التحتية لمزيد من التوغل.

المرحلة التالية هي التهرب من الدفاعات. ترسانة ماكوب تشمل مجموعة من أدوات قتل مضادات الفيروسات مثل Defender Control وDisable Defender، المصممة لتحييد Microsoft Defender وغيره من حلول الحماية الطرفية. كما يستخدم الفريق تقنيات BYOVD، حيث ينشرون برامج تشغيل شرعية لكنها ضعيفة - مثل ThrottleStop.sys وhlpdrv.sys - للحصول على وصول على مستوى النواة وإيقاف أنظمة كشف الاستجابة الطرفية (EDR). هذه الطريقة تمكنهم من تجاوز الدفاعات التقليدية بكفاءة مقلقة.

تخصيص الهجوم والوصول العالمي

تظهر قدرة ماكوب على التكيف في استخدامهم لأدوات مخصصة حسب المنطقة، مثل أداة إزالة برنامج Quick Heal المضاد للفيروسات - وهو ما يشير إلى تركيزهم على الأهداف الهندية التي تشكل 55% من ضحاياهم. لكن التهديد ليس محصوراً بمنطقة واحدة؛ فقد وقعت منظمات في البرازيل وألمانيا وأماكن أخرى ضحية أيضاً، غالباً بسبب ضعف المصادقة وعدم وجود مصادقة متعددة العوامل (MFA).

تصعيد الامتيازات هو تخصص آخر لماكوب. يحتفظ المهاجمون بترسانة من الاستغلالات، من ثغرات قديمة مثل CVE-2017-0213 إلى عيوب أحدث. هذا التكرار يضمن قدرتهم على تصعيد الامتيازات على أي نظام ويندوز تقريباً يخترقونه.

بمجرد السيطرة، ينشر مشغلو ماكوب أدوات تفريغ بيانات الاعتماد مثل Mimikatz وLaZagne، لجمع كلمات المرور والهاشات للانتشار الجانبي وتعميق سيطرتهم. حتى أنهم يسيئون استخدام تطبيقات شرعية مثل Process Hacker وIOBitUnlocker لإنهاء عمليات الأمان العنيدة وتمهيد الطريق للتشفير.

GuLoader: سلاح جديد في الترسانة

في تطور ملحوظ، دمجت ماكوب GuLoader - وهو حصان طروادة لتنزيل البرمجيات الخبيثة غالباً ما يرتبط بسرقة المعلومات - في سلسلة التسليم الخاصة بهم. يمثل هذا تحولاً استراتيجياً نحو هجمات أكثر تعقيداً وتعدد طبقات، ويشير إلى أن ماكوب مصممة على البقاء متقدمة على المدافعين.

الخلاصة: رفع مستوى الدفاع ضد الفدية

ابتكار ماكوب المستمر هو جرس إنذار للمؤسسات في كل مكان: أمان RDP، التحديث المنتظم، والمراقبة القوية لم تعد خيارات. مع تصعيد منفذي الفدية لمستواهم، يجب على المدافعين أن يفعلوا الشيء نفسه - لأن ماكوب لا تتوقف أبداً عن البحث عن الروابط الضعيفة.

ويكيكروك: مسرد المصطلحات

RDP (بروتوكول سطح المكتب البعيد): بروتوكول من مايكروسوفت يسمح للمستخدمين بالاتصال والتحكم بأجهزة الكمبيوتر عن بُعد عبر الشبكة.
BYOVD (إحضار برنامج تشغيل ضعيف خاص بك): تقنية يقوم فيها المهاجمون بتثبيت برامج تشغيل شرعية لكنها ضعيفة للحصول على وصول عميق للنظام وتعطيل أدوات الأمان.
تصعيد الامتيازات: عملية الحصول على حقوق وصول أعلى في النظام، غالباً من خلال استغلال ثغرات برمجية.
تفريغ بيانات الاعتماد: استخراج معلومات المصادقة (مثل كلمات المرور والهاشات) من الأنظمة المخترقة لتسهيل هجمات إضافية.
GuLoader: حصان طروادة لتنزيل البرمجيات الخبيثة يُستخدم لتسليم حمولات خبيثة إضافية، بما في ذلك الآن فدية ماكوب.