برامج التجسس: EvilBamboo

من ثغرة الري إلى برامج التجسس: EvilBamboo يستهدف التبتيين والأويغور والتايوانيين.

من ثغرة الري إلى برامج التجسس: EvilBamboo يستهدف التبتيين والأويغور والتايوانيين. تستهدف حملة مستمرة ينظمها جهات فاعلة سيئة السمعة تدعى EvilBamboo الأفراد والمنظمات التبتيين والأويغور والتايوانيين لجمع معلومات حساسة.

أنشأ المهاجم مواقع ويب تبتية مزيفة، إلى جانب ملفات تعريف وسائل التواصل الاجتماعي، من المحتمل استخدامها لنشر استغلال المستعرض ضد المستخدمين المستهدفين. كما قام المهاجم ببناء مجتمعات على منصات عبر الإنترنت، مثل Telegram، للمساعدة في توزيع البرامج الضارة الخاصة به.

EvilBamboo هل يتبع شركة الأمن السيبراني Evil Eye.

تم ربط EvilBamboo، الذي كان يتتبعه سابقًا من قبل شركة الأمن السيبراني تحت اسم Evil Eye، بهجمات متعددة منذ عام 2019 على الأقل، حيث استخدم المهاجم هجمات ثغرة الري لتقديم برامج تجسس تستهدف أجهزة Android و iOS.

المجموعة معروفة أيضًا باستخدام برامج تجسس لنظام Android مثل ActionSpy و PluginPhantom لجمع بيانات قيمة من الأجهزة المصابة تحت ستار تطبيقات القاموس ولوحة المفاتيح والصلاة المتاحة على متاجر التطبيقات التابعة لجهات خارجية.

الى ماذا تشير النتائج من Volexity .

تشير أحدث النتائج من Volexity إلى EvilBamboo ثلاث أدوات تجسس جديدة لنظام Android، وهي BADBAZAAR و BADSIGNAL و BADSOLAR، أولها تم توثيقه بواسطة Lookout في نوفمبر 2022.

تستغل السلاسل الهجومية المستخدمة لتوزيع عائلات البرامج الضارة منتديات مشاركة APK ومواقع الويب المزيفة التي تروج لـ Signal و Telegram و WhatsApp وقنوات Telegram المكرسة لمشاركة تطبيقات Android ومجموعة من الملفات الشخصية الوهمية على Facebook و Instagram و Reddit و X (Twitter سابقًا) و YouTube.

قال الباحثون إن “متغيرات Telegram تنفذ نفس نقاط نهاية واجهة برمجة التطبيقات مثل متغيرات Signal لجمع المعلومات من الجهاز وتنفذ وكيلًا”. مضيفًا أنه تم تحديد نقاط نهاية تشير إلى وجود إصدار iOS من BADSIGNAL.

قيل أيضًا أن إحدى قنوات Telegram احتوت على رابط إلى تطبيق iOS يدعى TibetOne لم يعد متاحًا في متجر تطبيقات Apple.

تم أيضًا استخدام الرسائل المشتركة عبر مجموعات Telegram لتوزيع التطبيقات التي تم اختراقها ببرنامج BADSOLAR الخبيث بالإضافة إلى الروابط المفخخة التي تعمل عند زيارتها على تشغيل JavaScript ضار لإنشاء ملف تعريف وبصمة للنظام.

هل يستخدم BADBAZAAR لاستهداف الأويغور.

في حين أن BADBAZAAR يستخدم بشكل أساسي لاستهداف الأويغور وغيرهم من الأفراد من الديانة الإسلامية. يبدو أن BADSOLAR يستخدم بشكل أساسي مع التطبيقات ذات الطابع التبتي. ومع ذلك. فإن كلتا السلالات تدمج قدراتها الخبيثة في شكل مرحلة ثانية يتم استرجاعها من خادم بعيد.

برنامج المرحلة الثانية لبرنامج BADSOLAR هو أيضًا شوكة من TrojanRAT لنظام Android مفتوح المصدر يسمى AndroRAT. في المقابل. يحزم BADSIGNAL جميع وظائف جمع المعلومات الخاصة به في الحزمة الرئيسية نفسها.

وقال الباحثون إن “هذه الحملات تعتمد إلى حد كبير على تثبيت المستخدمين للتطبيقات التي تم اختراقها. مما يسلط الضوء على أهمية تثبيت التطبيقات من مؤلفين موثوق بهم فقط وعلى عدم وجود آليات أمنية فعالة لمنع التطبيقات التي تم اختراقها من الوصول إلى المتاجر الرسمية”.

“إن إنشاء EvilBamboo لمواقع ويب مزيفة. والشخصيات المصممة خصيصًا للمجموعات المحددة التي يستهدفونها. كان جانبًا رئيسيًا في عملياتهم. مما مكنهم من بناء مجتمعات موثوق بها توفر المزيد من الطرق لاستهداف الأفراد ببرامج التجسس الخاصة بهم أو لاستغلال آخر.”

نصائح للحماية من برامج التجسس:

  • قم بتثبيت التطبيقات من المتاجر الرسمية فقط، مثل متجر Google Play أو متجر التطبيقات.
  • اقرأ تقييمات المستخدمين قبل تثبيت أي تطبيق.
  • انتبه إلى الأذونات التي يطلبها التطبيق.
  • قم بتحديث تطبيقاتك بانتظام.
  • استخدم برنامج أمان جيدًا على جهازك.
  • كن حذرًا عند النقر على الروابط في الرسائل أو على وسائل التواصل الاجتماعي.

من ثغرة الري إلى برامج التجسس: EvilBamboo يستهدف التبتيين والأويغور والتايوانيين. تابعً على Facebook او Instagram او YouTube او X لقراءة المزيد من المحتوى الحصري الذي ننشره.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

اختار العملة
يستخدم هذا الموقع ملفات تعريف الارتباط (الكوكيز) ليقدم لك تجربة تصفح أفضل. من خلال تصفح هذا الموقع ، فإنك توافق على استخدامنا لملفات تعريف الارتباط.