البرمجيات الخبيثة تهدد 1.5 مليون جهاز كمبيوتر في فيتنام

رسم توضيحي لمخترق يكتب على الكمبيوتر. الصورة: iStock .

وبحسب تحذير من شركة الأمن السيبراني Elastic Security Labs، فإن حملة هجوم بالبرامج الضارة تسمى SPECTRALVIPER تستهدف ملايين أجهزة الكمبيوتر العاملة في فيتنام.

وتُظهر البيانات أن حملة الهجوم تم تنفيذها بواسطة REF2754، وهو رمز مرجعي يتطابق مع مجموعة القراصنة الفيتنامية APT32، المعروفة أيضًا باسم Canvas Cyclone وCobalt Kitty وOceanLotus.

قال ممثل شركة Elastic أن SPECTRALVIPER هو برنامج خلفي غير معلن عنه في بنية x64، يستخدم تقنيات الكود المشوش مع القدرة على حقن البيانات الضارة في النظام.

في إحدى الإصابات التي تم اكتشافها بواسطة Elastic، تم استغلال أداة ProcDump لحقن ملف DLL يحتوي على DONUTLOADER والذي تم تثبيته لحقن SPECTRALVIPER والبرامج الضارة الأخرى في النظام مثل P8LOADER وPOWERSEAL.

يحافظ SPECTRALVIPER على اتصال بخادم يتم التحكم فيه بواسطة المتسللين. بمجرد تنشيطه، يمكن للبرامج الضارة الوصول إلى بيانات ضارة، والوصول إلى الموارد الحساسة، وتعديل الملفات والمجلدات الموجودة على النظام.

تم كتابة P8LOADER بلغة C++، وهو قادر على تشغيل حزم البيانات الضارة من الملفات أو الذاكرة. وفي الوقت نفسه، يمكن لـ POWERSEAL تشغيل الأوامر في PowerShell دون إذن المستخدم.

يصيب SPECTRALVIPER أجهزة الكمبيوتر من خلال ثغرة SMB. وفقًا لإحصائيات Bkav، فإن 1/10 من أجهزة الكمبيوتر في فيتنام بها ثغرات SMB، مما يجعلها معرضة لخطر الإصابة بفيروس SPECTRALVIPER.

رسم بياني يوضح كيفية تنفيذ القراصنة للبرامج الخبيثة SPECTRALVIPER. الصورة: Elastic Security Labs .

"تم استغلال ثغرة SMB بواسطة فيروس WannaCry لإصابة أكثر من 300000 جهاز كمبيوتر حول العالم في غضون ساعات قليلة. في عام 2018، تعرض ما يصل إلى 735000 جهاز كمبيوتر في فيتنام لهجوم من قبل برنامج تعدين العملات المشفرة W32.CoinMiner باستخدام تعدين SMB.

وقال السيد نجوين تيان دات، المدير العام لمركز أبحاث البرمجيات الخبيثة في بكاف: "على الرغم من التحذيرات العديدة، لا يزال حوالي 10% من أجهزة الكمبيوتر في فيتنام تعاني من هذه الثغرة الأمنية".

ننصح المستخدمين بتحديث تصحيحات الأمان لأجهزة الكمبيوتر الخاصة بهم في أقرب وقت ممكن والنسخ الاحتياطي للبيانات المهمة لمنع الضرر.

وفي الوقت نفسه، تحتاج المؤسسات والشركات إلى نشر حلول أمن الشبكات مثل جدران الحماية ومراكز المراقبة (SOC)، والكشف فورًا عن أي خلل للاستجابة له ومعالجته على الفور.

بالإضافة إلى ذلك، من الضروري التواصل مع وحدات الأمن السيبراني المتخصصة للحصول على الدعم في مراجعة النظام بأكمله بما في ذلك الخوادم ومحطات العمل والمنصات السحابية لإزالة البرامج الضارة تمامًا.

المصدر زينغ