مجموعات معينة من مجرمي الإنترنت مثل عصابات برامج الفدية ومشغلي الروبوتات والمحتالين الماليين يحظون باهتمام خاص بهجماتهم وعملياتهم. لكن النظام البيئي الأكبر الذي ترتكز عليه الجريمة الرقمية يشمل مجموعة من الجهات الفاعلة والمنظمات الخبيثة التي تبيع بشكل أساسي خدمات الدعم لهؤلاء العملاء المجرمين. اليوم ، يكشف باحثون من شركة eSentire الأمنية عن أساليبهم لتعطيل عمليات مؤسسة إجرامية طويلة الأمد تعرض الشركات والمؤسسات الأخرى للخطر ، ثم تبيع ذلك الوصول الرقمي إلى مهاجمين آخرين.
المعروف باسم عملية “الوصول الأولي كخدمة” ، فإن البرنامج الضار “Gootloader” والمجرمون الذين يقفون وراءه يقومون بالتسوية والخداع لسنوات. تصيب عصابة Gootloader المنظمات الضحية ثم تبيع الوصول لتقديم البرامج الضارة المفضلة للعميل إلى الشبكة المستهدفة المخترقة ، سواء كانت عبارة عن برنامج فدية أو آليات لاستخراج البيانات أو أدوات أخرى لاختراق الهدف بشكل أعمق. من خلال تتبع بيانات صفحة Gootloader ، على سبيل المثال ، جمع باحثو eSentire أدلة على أن عصابة Ransomware سيئة السمعة ومقرها روسيا عملت بانتظام مع Gootloader بين عامي 2019 و 2022 للوصول الأولي إلى الضحايا – وهي علاقة لاحظها باحثون آخرون أيضًا.
صمم جو ستيوارت ، الباحث الأمني الرئيسي في eSentire ، وكبير الباحثين في مجال التهديدات ، كيجان كيبلينجر ، زاحف ويب لتتبع صفحات ويب Gootloader الحية والمواقع المصابة سابقًا. حاليًا ، يرى الاثنان حوالي 178000 صفحة ويب مباشرة من Gootloader وأكثر من 100000 صفحة يبدو أنها مصابة بـ Gootloader في الماضي. في تقرير استشاري بأثر رجعي العام الماضي ، حذرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية من أن Gootloader كان أحد أفضل سلالات البرامج الضارة لعام 2021 إلى جانب 10 آخرين.
من خلال تتبع نشاط Gootloader وعملياته بمرور الوقت ، حدد Stewart و Keplinger خصائص كيفية تغطية Gootloader لمساراته ومحاولاته لتجنب الاكتشاف الذي يمكن للمدافعين استغلاله لحماية الشبكات من الإصابة.
يقول ستيوارت: “بالتعمق أكثر في كيفية عمل نظام Gootloader والبرامج الضارة ، يمكنك العثور على كل هذه الفرص الصغيرة للتأثير على عملياتهم”. “عندما تلفت انتباهي ، أصبحت مهووسًا بالأشياء وهذا ما لا تريده كمؤلف للبرامج الضارة هو أن يغوص الباحثون تمامًا في عملياتك.”
بعيد عن الأنظار بعيد عن الفكر
تطور Gootloader من حصان طروادة مصرفي يُعرف باسم Gootkit والذي كان يصيب الأهداف بشكل أساسي في أوروبا منذ وقت مبكر من عام 2010. تم توزيع Gootkit عادةً من خلال رسائل البريد الإلكتروني التصيدية أو مواقع الويب الملوثة وتم تصميمه لسرقة المعلومات المالية مثل بيانات بطاقة الائتمان وتسجيلات الدخول إلى الحساب المصرفي للأشخاص. نتيجة للنشاط الذي بدأ في عام 2020 ، كان الباحثون يتتبعون Gootloader بشكل منفصل لأن آلية توصيل البرامج الضارة تُستخدم بشكل متزايد لتوزيع مجموعة من البرامج الإجرامية ، بما في ذلك برامج التجسس وبرامج الفدية.
يُعرف مشغل Gootloader بتوزيع الروابط إلى المستندات المخترقة ، خاصة القوالب والأشكال العامة الأخرى. عندما تنقر الأهداف على الروابط لتنزيل هذه المستندات ، فإنها تصيب نفسها عن غير قصد ببرامج Gootloader الضارة. للحصول على أهداف لبدء التنزيل ، يستخدم المهاجمون تكتيكًا يُعرف باسم تسميم تحسين محرك البحث لخرق المدونات الشرعية ، وخاصة مدونات WordPress ، ثم يضيفون إليها بهدوء محتوى يتضمن روابط المستندات الضارة.
تم تصميم Gootloader لفحص الاتصالات بمشاركات المدونة الملوثة لعدد من الخصائص. على سبيل المثال ، إذا قام شخص ما بتسجيل الدخول إلى مدونة WordPress مخترقة ، سواء كان لديه امتيازات المسؤول أم لا ، فسيتم حظره من رؤية منشورات المدونة التي تحتوي على الروابط الضارة. ويذهب Gootloader إلى أبعد من ذلك في حظر عناوين IP بشكل دائم والتي تكون قريبة عدديًا من العنوان الذي تم تسجيل الدخول إليه في حساب WordPress ذي الصلة. الفكرة هي منع الأشخاص الآخرين في نفس المؤسسة من رؤية المنشورات الخبيثة.
