عن ماذا تبحث؟

استخدام برنامج WinRAR للقيام بهجمات إلكترونية مدمرة

من المعروف أن وينرار WinRAR هي أداة أرشفة ملفات تجريبية لنظام ويندوز ، تقوم بضغط أو فك ضغط أي ملف بطريقة سهلة جدا ، ولا يخلو أي حاسوب يعمل بنظام ويندوز منه.
استخدام برنامج WinRAR للقيام بهجمات إلكترونية مدمرة

قد يفيدك:
كيفية ضغط الملفات ببرنامج الوينرار وطريقة استخراج الملفات منها
ماهى افضل صيغة لضغط الملفات zip ام rar ام 7z؟ الاجابة هنا
ضغط الملفات لأقصى درجة ممكنة


لكنه الأن لم يعد برنامج عادي ، فقد وجد الهاكرز طريقة لاستخدامه للقيام بهجمات إلكترونية مدمرة ، حيث قام هاكرز روس بضرب شبكات المؤسسات الأوكرانية ، باستخدام برنامج الأرشفة الشهير WinRAR تمكنوا من مسح البيانات من الأجهزة التي تنتمي إلى هذه الشبكات.

وفقًا لفريق الاستجابة للطوارئ الحاسوبية التابع للحكومة الأوكرانية CERT-UA ، فإن جهة تهديد روسية ، يُعتقد أنها مجموعة Sandworm ، تمكنت من اختراق شبكات الحكومة الأوكرانية باستخدام حسابات شبكات افتراضية VPN مخترقة لم تكن محمية بمجموعة مصادقة متعددة العوامل (MFA).

بعد الوصول باستخدام هذه الحسابات ، استخدمت مجموعة القرصنة Sandworm برنامج نصي "سكريبت" BAT يسمى "RoarBat" ، لإجراء عمليات ضارة على أجهزة ويندوز.

تم تصميم هذا البرنامج النصي لفحص الأقراص المختلفة والأدلة المستهدفة ، والبحث عن أنواع من الملفات المحددة مثل:

doc، docx، rtf، txt، xls، xlsx، ppt، pptx، vsd، vsdx، pdf، png، jpeg، jpg، zip، rar، 7z، mp4، SQL، PHP، vbk، vib، vrb، p7s، sys، DLL ، exe ، bin ، dat

استخدم المهاجمون تكتيكًا محددًا عند استخدام WinRar ، باستخدام خيار سطر الأوامر "-df".

تقوم هذه الميزة تلقائيًا بحذف الملفات أثناء أرشفتها ، مما سمح للهاكرز بتدمير البيانات المهمة بسهولة وبشكل منهجي.

بعد عملية الأرشفة ، ذهب الجناة إلى أبعد من ذلك وقاموا بحذف الأرشيف بأنفسهم.

وفقًا لفريق الاستجابة للطوارئ الحاسوبية الأوكراني ، تم تنفيذ السكريبت RoarBAT من خلال مهمة مجدولة تم إنشاؤها مركزيًا وتوزيعها عبر جميع الأجهزة على مجال شبكة أجهزة ويندوز.

تم تسهيل هذا التوزيع باستخدام سياسات المجموعة ، مما سمح بتنفيذ سلس للمهام عبر الشبكة بأكملها.

اختار المهاجمون أسلوبًا مختلفًا عند استهداف أجهزة Linux ، باستخدام سكريبت Bash بدلاً من سكريبت BAT المستخدم في أنظمة ويندوز.

استخدم هذا البرنامج النصي الأداة المساعدة “dd” للكتابة فوق أنواع ملفات معينة بصفر بايت ، مما يجعل البيانات غير قابلة للاسترداد تمامًا.

نظرًا لطبيعة استبدال البيانات التي تقوم بها أداة dd ، فإن احتمالية استرداد الملفات التي تم "إفراغها" باستخدام هذه الطريقة منخفضة للغاية.

قد يكون من المستحيل استعادة محتويات الملفات المتأثرة ، من المحتمل أن يكون استخدام برامج شرعية مثل WinRar والأمر 'dd' بمثابة خطوة إستراتيجية من قبل جهات التهديد الفاعلة لتجنب الاكتشاف بواسطة برامج الحماية.

وفقًا لفريق الاستجابة للطوارئ الأوكراني ، يشبه الهجوم الإلكتروني الأخير على الشبكات الأوكرانية حادثة مماثلة وقعت في يناير 2023.

قد يهمك:


المصدر: مدونة هكر نيوز بالعربية


تعليقات



حجم الخط
+
16
-
تباعد السطور
+
2
-