🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
Home
Threat Intelligence Posts
ذكاء البرامج الضارة

تحذير بشأن تهديدات حصان طروادة للوصول عن بُعد من Sepulcher

تستهدف مجموعة APT TA413 التي تتخذ من الصين مقراً لها المسؤولين الأوروبيين من خلال حملات التصيد الاحتيالي، وتنشر حمولة RAT التي يطلق عليها اسم Sepulcher.
Updated on
August 19, 2025
Published on
September 10, 2020
Read MINUTES
5
Subscribe to the latest industry news, threats and resources.
استهدفت شركة APT (TA413) التي تتخذ من الصين مقراً لها المسؤولين الأوروبيين في حملة التصيد الاحتيالي، من خلال نشر RAT التي يطلق عليها اسم Sepulcher. وكانت الهيئات الدبلوماسية والتشريعية، ومنظمات أبحاث السياسات غير الربحية، والمنظمات العالمية المعنية بالشؤون الاقتصادية ضحايا لهذه الهجمات. تقدم المجموعة البرامج الضارة، منذ أكثر من ستة أشهر، من خلال حملتين منفصلتين:
  1. في مارس 2020، تم تصميم حملة التصيد الاحتيالي، متخفية في زي إرشادات منظمة الصحة العالمية بشأن التأهب الحرج لـ COVID-19. احتوت رسائل البريد الإلكتروني على مرفق RTF مسلح. عندما نقر الهدف على مرفق RTF المسلح (المسمى «Covid.rtf»)، فقد استغل عيبًا في محرر معادلات Microsoft. ثم قام بتثبيت كائن RTF ضار مضمن، في شكل ملف تعريف لـ Windows (WMF)، إلى دليل الملفات.
  2. في نهاية يوليو 2020، تم إنشاء حملة أخرى لاستهداف المنشقين التبتيين باستخدام سلالة من برامج Sepulcher الضارة. تضمنت رسائل البريد الإلكتروني، التي يُزعم أنها واردة من «جمعية نساء التبت»، مرفقًا خبيثًا ببرنامج PowerPoint. عندما تم تنفيذ مرفق PowerPoint، تم استدعاء IP 118.99.13.4 لتنزيل حمولة البرامج الضارة Sepulcher «file.dll».
Sepulcher هي حمولة RAT أساسية قادرة على إجراء الاستطلاع داخل المضيف المصاب. تحصل Sepulcher على معلومات حول: -
  • محركات
  • معلومات الملف
  • إحصائيات الدليل
  • مسارات الدليل
  • محتوى الدليل
  • عمليات التشغيل
  • خدمات.
يتيح RAT الجديد الضوابط الإدارية، مما يسمح لممثل التهديد بتغيير نظام الملفات أو تنزيله. يتم استخدام هذا بعد ذلك لتنفيذ أنشطة ضارة، مما يؤدي إلى مزيد من الاختراق للشبكة أو الأنظمة.

التأثير

في الآونة الأخيرة، اتُهم المهاجمون بانتحال شخصية منظمة الصحة العالمية والجمعية الطبية الأسترالية لإطلاق حملات COVID-19 العالمية المزيفة لجمع المعلومات الاستخبارية سراً. سيؤدي ذلك إلى: -
  1. إساءة استخدام العلامة التجارية للأنشطة الاحتيالية
  2. يؤدي سوء العلامة التجارية إلى فقدان الشهرة والسمعة
  3. سرقة هوية المستخدمين
  4. إساءة استخدام البيانات
  5. يمكن التعامل مع تسوية التنزيل، والتي يمكنها تثبيت برامج ضارة على النظام وبعد ذلك، على أنها روبوتات.
  6. مخاطر التكلفة الكبيرة المرتبطة بكل ما سبق

مؤشرات التسوية

  1. http://107.151.194.197:80
  2. 107.151.194.197
  3. http://118.99.13.4:8099/file.dll
  4. صندوق دعم داليما في الهند. ddns.net
  5. http://107.151.194.197:8080
  6. 9f9723c5ff4ec1b7f08eb2005632b8b1
  7. http://118.99.13.4:1234/qqqzqa
  8. e47a821ef85d722f01f10adff227f45552e4ec73
  9. http://107.151.194.197:443
  10. 118.99.13.4
  11. [email protected]
  12. f6f9224 c389e46b28fe04847 de4afb1e33ca03763c9e5c41a29e7f669
  13. [email protected]
  14. الرعاية الاجتماعيةtbit.tk
  15. 4a4a959aef64e48e2b831468119180d0af4b5b685c35170f5d5d3f001b9cc319
  16. ff301 b3295959 a3ac 5f3d0a5ea0d9f0 a0ed9f0aed8d7c4207 b18f4 bb6da0cdf22
  17. e89614e3b0430 d706 be2d1f13b30b43e5c53db9a477e2ff60ef5464e1e9add4

تدابير وقائية

  1. لا تفتح رسائل البريد الإلكتروني المشبوهة وغير ذات الصلة، خاصة تلك الواردة من مرسلين مجهولين أو مشتبه بهم.
  2. استخدم فلاتر البريد العشوائي وبرنامج مكافحة الفيروسات لاكتشاف رسائل البريد الإلكتروني السيئة وتصفيتها.
  3. قم بتمكين منتج أمان نقطة النهاية أو مجموعة حماية نقطة النهاية.
  4. حافظ على تحديث برامجك.
  5. قم بعمل نسخة احتياطية من البيانات بشكل منتظم واحتفظ بالنسخ المؤرشفة خارج الموقع وفي وضع عدم الاتصال.
  6. يجب أن يكون تصعيد امتياز المستخدم قويًا، ولا يسمح إلا للمشرف بالوصول.
 
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Recent Posts

Recent Articles

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
جدولة عرض تجريبي
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations
Get started
Learn more