قامت المجموعة التي تقف وراء هجمات الأنظمة الواسعة النطاق المعروفة باسم DNSpionage بتحديت برامجها الضارة لتركيز هجماتها وإخفاء أنشطتها بشكل أفضل. وحذر باحثو أمن Cisco Talos الذين اكتشفوا DNSpionage من إنجازات وقدرات جديدة للمجموعة وقالو إن التطوير المستمر للبرامج خبيثة يدل على أن المهاجمين يواصلون البحث عن طرق جديدة لتجنب الاكتشاف.

ذكرت Cisco هذا الأسبوع أن الجهات الفاعلة في DNSpionage قد أنشأت برمجيات ضارة تدعم اتصالات HTTP و DNS بخادم C2. حيت يتم إخفاء اتصال HTTP في التعليقات في كود HTML. لكن هذه المرة خادم C2 يحاكي نظام GitHub بدلاً من ويكيبيديا. وتم إضافة بعض الميزات الجديدة في هذا الإصدار الأخير حيت تم إزالة وضع التصحيح. وقال باحثو Talos إنهم اكتشفوا أن DNSpionage أضافت مرحلة استطلاعية مما يضمن إرسال البرامج الخبيثة على أهداف محددة بدلاً من تنزيلها بشكل عشوائي على كل جهاز.

هذا المستوى من الهجوم يُمكن من الحصول على معلومات تعد المفتاح الذي يساعد البرامج الضارة على تحديد الضحايا فقط ويمكن من تجنب أنظمة الحماية وانظمة الكشف. ومن خلال التحكم في نظام الضحية يمكن للمهاجمين تغيير أو تزوير أية بيانات يتلقاها الضحايا من الإنترنت ويمكنهم تعديل سجلات أسماء DNS بطريقة غير مشروعة لتوجيه المستخدمين إلى الخوادم التي يسيطر عليها المهاجمون.

والغريب في الأمر ان يقتصر DNSpionage على استهداف منظمات الأمن القومي بشكل أساسي في الشرق الأوسط وشمال إفريقيا.

المصدر : هنا