واحدة من الحمولات الإضافية التي تم دفعها إلى حوالي عشرة منظمات كانت ما وصفته كاسبيرسكي بأنه “باب خلفي بسيط”. لديه القدرة على تنفيذ الأوامر، وتنزيل الملفات، وتشغيل الحمولة البرمجية في الذاكرة – مما يجعل العدوى أصعب في الاكتشاف.
قالت كاسبيرسكي إنها رصدت بابًا خلفيًا أكثر تعقيدًا يُدعى QUIC RAT، تم تثبيته على جهاز واحد ينتمي إلى مؤسسة تعليمية تقع في روسيا. أظهرت التحليلات الأولية أنه يمكنه حقن الحمولات في عمليات notepad.exe و conhost.exe ويدعم مجموعة متنوعة من بروتوكولات الاتصال C2، بما في ذلك HTTP و UDP و TCP و WSS و QUIC و DNS و HTTP/3.
كانت المنظمات المئة المصابة تقع بشكل أساسي في روسيا والبرازيل وتركيا وإسبانيا وألمانيا وفرنسا وإيطاليا والصين. رؤية كاسبيرسكي للهجوم محدودة لأنها تعتمد فقط على البيانات التي توفرها منتجاتها الخاصة.
كتب باحثو كاسبيرسكي:
تظهر التحليلات أن 10% من الأنظمة المتأثرة تنتمي إلى الشركات والمنظمات. حاول المهاجمون إصابة معظم الآلات المتأثرة فقط بحمولة جامع المعلومات. ومع ذلك، تم ملاحظة حمولة الباب الخلفي الأخرى، التي هي أكثر تعقيدًا، فقط على عشرة من الأجهزة التابعة للمنظمات الحكومية والعلمية والتصنيعية وتجارة التجزئة الواقعة في روسيا وبيلاروس و تايلاند. تشير هذه الطريقة في نشر الباب الخلفي إلى مجموعة صغيرة من الآلات المصابة بوضوح إلى أن المهاجم كان لديه نية لتنفيذ العدوى بشكل مستهدف. ومع ذلك، فإن نيتهم – سواء كانت تجسسًا سيبرانيًا أو “صيد كبير” – غير واضحة حاليًا.
قد تعرضت الهجمات الأحدث على سلسلة التوريد ل Trivy و Checkmarx و Bitwarden لأكثر من 150 حزمة متوفرة من خلال مستودعات المصادر المفتوحة. في العام الماضي، كان هناك على الأقل ست هجمات بارزة من هذا النوع.
يجب على أي شخص يستخدم أدوات دايمن أن يأخذ الوقت لمسح كل ما في أجهزة الكمبيوتر الخاصة بهم باستخدام برنامج مضاد فيروسات موثوق. يجب على مستخدمي ويندوز أيضًا التحقق من مؤشرات الاختراق المدرجة في منشور كاسبيرسكي. بالنسبة للمستخدمين الأكثر تقدمًا من الناحية الفنية، توصي كاسبيرسكي بمراقبة “حقن التعليمات البرمجية المشبوهة في عمليات النظام المشروعة، خاصة عندما يكون المصدر من ملفات تنفيذية تم إطلاقها من أدلة يمكن الوصول إليها علنًا مثل Temp و AppData أو Public.”
