التخطي إلى المحتوى الرئيسي

مميزة

MITMProxy العقل الأسود

 العقل الأسود ما هي MITMProxy ؟ MITMProxy هي بيئة تشغيل كاملة مصممة لفكرة واحدة: التجسس  على حركة الاتصال بين أي جهاز وخدمة لمعرفة كل شيء يحدث داخل الـTraffic باختصار هي الأداة التي يستخدمها: مختبرو الاختراق المحترفون مهندسو الـ API محققو الجرائم الرقمية مطورو تطبيقات الموبايل وأي شخص يريد رؤية ما وراء الكواليس في العالم الرقمي MITMProxy ليست مجرد Proxy إنها: ✔ محلل ✔ متحكم ✔ معدّل ✔ لاعب داخل التيار وتستخدم في اختبار التطبيقات، كشف الثغرات، تحليل البروتوكولات، واستخراج البيانات في الزمن الحقيقي   لماذا MITMProxy هي أقوى أداة اعتراض بيانات؟   ✔ 1) تعترض HTTPS بالكامل مش مجرد HTTP بل تستطيع تكسير وتفكيك TLS وتشفيرات التطبيقات عبر MITM-CA الخاصة بها ✔ 2) تعدّل في الباكت قبل ما توصل للهدف تقدر: تغير الـ Headers تعدّل الـ Cookies تزود Auth Tokens تفبرك JSON تحقن Request تغير Response كأنك ماسك القلم اللي بيكتب الاتصالات بنفسك ✔ 3) واجهات متعددة واجهة CLI واجهة Web قوية دعم لـ MITMDump دعم لـ Python scripting modules Addons يمكنها التحكم في كل Packet ✔ 4) أ...
إرسال تعليق
قراءة المزيد
التسميات

كيف حوّل قراصنة كوريا الشمالية APT37 أداة جوجل الدفاعية إلى سلاح هجومي قاتل


 💀 البداية: أداة الحماية التي تحوّلت إلى فخ قاتل

في تصعيد جديد من حرب التجسس الرقمية استغلّ قراصنة APT37 الكوريون الشماليون أداة Google Find Hub  التي صممتها جوجل لمساعدة المستخدمين على تحديد موقع أجهزتهم المفقودة  لتحويلها إلى أداة مسح شامل للبيانات على أجهزة Android تمكّنهم من محو أي أثر لعملياتهم التجسسية

الضحايا الأساسيون؟
 مواطنون كوريون جنوبيون، مستهدفون بدقة عبر تطبيق المراسلة الأشهر في البلاد

KakaoTalk

كيف بدأت الحكاية

كل شيء يبدأ برسالة ودّي، تبدو وكأنها من جهة حكومية:
“ملف من دائرة الضرائب الوطنية أو إشعار من الشرطة
لكن خلف هذه الواجهة المخادعة، يكمن مرفق MSI خبيث موقّع رقميًا مصمم بعناية لاختراق النظام

بمجرد أن يفتح الضحية الملف، يبدأ كود خفي بتنفيذ أوامر:

  1. تشغيل ملف install.bat المموّه برسالة خطأ زائفة حول “حزمة اللغة

  2. تنشيط سكربت AutoIT يُعرف بـ IoKITr.au3 لتثبيت موطئ قدم دائم في الجهاز

  3. التواصل مع خوادم تحكم (C2) لجلب أدوات تجسس إضافية

    🕷️ أدوات الهجوم 

    البرمجيات الخبيثة التي تم رصدها في الحملة تشمل:

    RemcosRAT – للتحكم الكامل بالجهاز

    QuasarRAT – لتسجيل ضغطات المفاتيح وسرقة البيانات.

    RftRAT – لاختراق حسابات البريد الإلكتروني وسرقة بيانات Google وNaver

    وبمجرد حصول القراصنة على بيانات اعتماد حساب Google... يبدأ الكابوس الحقيقي

    مرحلة السيطرة: استغلال Google Find Hub

    من خلال الحسابات المخترقة، دخل المهاجمون إلى Google Find Hub (المعروف سابقًا بـ Find My Device)، أداة جوجل الرسمية لتتبع الأجهزة.

    لكن بدلًا من استخدامها لحماية المستخدم، استخدموها لتحديد موقع الضحية بدقة عبر GPS، ومسح الهاتف عن بُعد بالكامل.

     تحليل شركة Genians كشف أن المهاجمين:

    نفّذوا أوامر إعادة ضبط المصنع عن بُعد ثلاث مرات متتالية

    حذفوا بيانات مهمة بالكامل

    استخدموا ميزة GPS لاختيار اللحظة المناسبة للهجوم عندما يكون الضحية في الخارج وغير قادر على الرد

    وبعد المسح استخدم القراصنة جلسة KakaoTalk المسروقة من حاسوب الضحية لنشر الملفات الخبيثة إلى جهات اتصاله — في تكرار مرعب لعدوى رقمية متنقلة

    جذور الهجوم: مجموعة KONNI وAPT37

  4. الهجوم ينتمي إلى حملة KONNI، وهي فرع من عمليات APT37 (المعروفة أيضًا باسم ScarCruft) وKimsuky (Emerald Sleet)

    هذه المجموعات الكورية الشمالية تشتهر بعملياتها الموجهة ضد:

    المؤسسات الحكومية والتعليمية

    منظمات حقوق الإنسان

    وحتى قطاع العملات الرقمية

    أهدافهم ليست المال فقط — بل المعلومات والسيطرة

    العنصر             التفاصيل                                 
    اسم الهجومحملة KONNI / APT37
    الهدفكوريون جنوبيون عبر KakaoTalk
    الأداة المستغلةGoogle Find Hub (Find My Device)
    طريقة الاختراقتصيّد عبر مرفقات MSI وZIP
    البرمجيات الخبيثةRemcosRAT – QuasarRAT – RftRAT
    النتيجةمسح بيانات أجهزة Android عن بعد – سرقة حسابات Google
    الجهة المنفذةمجموعة APT37 (ScarCruft) الكورية الشمالية
    رد جوجللا توجد ثغرة في النظام – تم إساءة استخدام أداة شرعية

التسميات:

تعليقات

إرسال تعليق

المشاركات الشائعة