واشنطن تعلن أنها أنزلت قوات على سفينة مرتبطة بإيران في المحيط الهندي
كشف فريق أبحاث الأمن في "موسيل" عن تهديدات سيبرانية جديدة تتمثل في دودة "Phoenix" العابرة للمنصات، وبرمجية "ShadeStager" الموجهة حصرياً لسرقة بيانات مستخدمي أنظمة "macOS".
وتعد دودة فينيكس برمجية خبيثة مبنية على لغة البرمجة غولانغ، وتعمل كدودة تمهيدية خفيفة الوزن تُرسِّخ وجودها على الأنظمة المصابة تمهيداً لموجة ثانية من الهجمات، حيث تنشئ اتصالاً مع خادم القيادة والتحكم عن بعد (C2) بدلاً من تشغيل الحمولة الكاملة المباشرة.
كما تقوم دودة فينيكس بتوليد معرّفات فريدة للأنظمة المصابة وإرسال بيانات النظام إلى المهاجمين، ودعم التحديثات عن بُعد وتنفيذ حمولات إضافية.
وأوضح فريق "موسيل" أن تصميمها يشير إلى أنها جزء من مجموعة أدوات أوسع، تهدف إلى تسليم التنفيذ إلى حمولات أكثر تطوراً في مراحل لاحقة من سلسلة الهجوم.
أما برنامج ShadeStager فيعمل كأداة ما بعد الاختراق، مصمم لاستخراج بيانات قيّمة من الأنظمة التي تم اختراقها، حيث تستهدف بيئات المطورين والبنية التحتية السحابية وهي تستهدف تحديدًا ما يلي:
مفاتيح SSH والمضيفون المعروفون، بيانات اعتماد السحابة من AWS وAzure وGCP، ملفات تكوين Kubernetes، بيانات مصادقة Git وDocker، ملفات تعريف كاملة للمتصفحات الرئيسية.
كما يقوم البرنامج بإجراء استطلاع شامل على الجهاز المضيف، حيث يستخرج معلومات المستخدم والصلاحيات، وتفاصيل نظام التشغيل والأجهزة، وإعدادات الشبكة، ومتغيرات البيئة المرتبطة بجلسات السحابة وSSH، وفقًا لموسايل.
ويتم تنظيم كل شيء واستخراجه عبر بروتوكول HTTPS، مع دعم تنفيذ الأوامر، واستخراج البيانات، وتنزيل الملفات.
ورغم عدم وجود ارتباط مباشر بين البرنامجين، إلا أنهما مبنيان على نفس نموذج الهجوم، أحدهما يُنشئ الوصول، والآخر يستخرج بيانات الاعتماد ورموز السحابة.
