أجرى ممثلو التهديد وراء البرمجيات الخبيثة Vidar تغييرات على البنية التحتية الخلفية الخاصة بهم. مما يشير إلى محاولات إعادة تجهيز وإخفاء مسارهم عبر الإنترنت استجابةً للإفصاحات العامة حول طريقة عملهم. برنامج Vidar الضار يستخدم أساليب جديدة لتجنب الكشف وإخفاء هوية الأنشطة
قال فريق Cymru.
من شركة الأمن السيبراني Team Cymru في تحليل جديد تمت مشاركته مع The Hacker News: “تواصل الجهات الفاعلة في مجال تهديد Vidar تدوير البنية التحتية لبنية IP الخلفية الخاصة بها. وتفضيل مقدمي الخدمات في مولدوفا وروسيا”.
Vidar هو سارق معلومات تجاري معروف بأنه نشط منذ أواخر عام 2018. إنه أيضًا شوكة لبرمجيات خبيثة أخرى تسمى Arkei ويتم عرضها للبيع بين 130 دولارًا و 750 دولارًا اعتمادًا على فئة الاشتراك.
يتم تسليم البرامج الضارة عادةً من خلال حملات التصيد الاحتيالي والمواقع التي تعلن عن برامج متصدعة. وتأتي مع مجموعة واسعة من القدرات لجمع المعلومات الحساسة من المضيفين المصابين. بينما لوحظ أيضًا أن Vidar يتم توزيعه عبر إعلانات Google المارقة ومحمل البرامج الضارة المسمى Bumblebee.
أشار Team Cymru. كما في تقرير نُشر في وقت سابق من شهر يناير. إلى أن “مشغلي Vidar قاموا بتقسيم بنيتهم التحتية إلى جزأين ؛ أحدهما مخصص لعملائهم المنتظمين والآخر لفريق الإدارة. وأيضًا المستخدمين المميزين / المهمين.”
المجال الرئيسي الذي يستخدمه ممثلو Vidar هو my-odin [.] com. والذي يعمل كوجهة وقفة واحدة لإدارة اللوحة. ومصادقة الشركات التابعة. ومشاركة الملفات.
بينما كان من الممكن في السابق تنزيل الملفات من الموقع دون أي مصادقة. فإن تنفيذ نفس الإجراء الآن يعيد توجيه المستخدم إلى صفحة تسجيل الدخول. يتضمن تغيير آخر تحديثات لعنوان IP الذي يستضيف المجال نفسه.
يتضمن ذلك الانتقال من 186.2.166 [.] 15 إلى 5.252.179 [.] 201 إلى 5.252.176 [.] 49 بحلول نهاية مارس 2023. مع وصول الجهات الفاعلة للتهديد إلى الأخير باستخدام خوادم VPN في نفس الوقت تقريبًا.
أشار Team Cymru إلى أنه “من خلال استخدام البنية التحتية للشبكات الخاصة الافتراضية. والتي تم استخدامها أيضًا في جزء منها على الأقل من قبل العديد من المستخدمين الحميدين الآخرين. كما من الواضح أن الجهات الفاعلة في تهديد Vidar قد تتخذ خطوات لإخفاء هوية أنشطتها الإدارية عن طريق إخفاء ضجيج الإنترنت العام”.
قالت شركة الأمن السيبراني.
إنها اكتشفت أيضًا اتصالات خارجية من 5.252.176 [.] 49 إلى موقع ويب شرعي يسمى blonk [.] co بالإضافة إلى مضيف يقع في روسيا (185.173.93 [.] 98: 443).
بينما تم العثور على البنية التحتية لـ Vidar لتلقي عملية شد وجه أخرى اعتبارًا من 3 مايو 2023. مع إدخال عنوان IP جديد 185.229.64 [.] 137 يستضيف نطاق my-odin [.] com جنبًا إلى جنب مع استخدام مرحلات TOR بواسطة المشغلين للوصول إلى حساباتهم ومستودعات البرامج الضارة. برنامج Vidar الضار يستخدم أساليب جديدة لتجنب الكشف وإخفاء هوية الأنشطة
من ناحية أخرى قالت الشركة إن النتائج “توفر مزيدًا من المعلومات حول عملية” وراء الكواليس “لشركة Vidar. مما يدل على تطور البنية التحتية لإدارتها بالإضافة إلى دليل على الخطوات التي اتخذتها الجهات الفاعلة في التهديد لتغطية مساراتها المحتملة”.