هجوم إلكتروني للاختراق حسابات مستخدمي تيليجرام ماسنجر ,تحذر دائرة الأمن والاستخبارات التقنية في أوكرانيا من موجة جديدة من الهجمات الإلكترونية التي تهدف إلى الوصول إلى حسابات المستخدمين على تيليجرام.
“أرسل المجرمون رسائل تحتوي على روابط خبيثة إلى موقع تيليجرام الإلكتروني من أجل الوصول غير المصرح به إلى السجلات. بما في ذلك إمكانية نقل رمز لمرة واحدة من الرسائل القصيرة”. خدمة الدولة للاتصالات الخاصة وحماية المعلومات (SSSCIP) في أوكرانيا قال في تنبيه.
الهجمات. التي نُسبت إلى مجموعة تهديدات تسمى “UAC-0094”. تنشأ من رسائل تيليجرام التي تنبه المستلمين إلى أنه تم اكتشاف تسجيل دخول من جهاز جديد موجود في روسيا وتحث المستخدمين على تأكيد حساباتهم من خلال النقر على رابط .
عنوان URL. في الواقع مجال تصيد. يطالب الضحايا بإدخال أرقام هواتفهم بالإضافة إلى كلمات المرور لمرة واحدة والتي يتم إرسالها عبر الرسائل القصيرة والتي يتم استخدامها بعد ذلك من قبل الجهات المهددة للسيطرة على الحسابات.
يعكس أسلوب العمل أسلوب هجوم التصيد الاحتيالي السابق الذي تم الكشف عنه في أوائل مارس والذي استفاد من صناديق البريد الوارد المخترقة التي تنتمي إلى كيانات هندية مختلفة لإرسال رسائل بريد إلكتروني للتصيد الاحتيالي إلى مستخدمي موقع Ukr.net لاختطاف الحسابات.
تم ملحضة حملة هندسة اجتماعية أخرى.
في حملة هندسة اجتماعية أخرى لاحظها فريق الاستجابة لحالات الطوارئ الحاسوبية (CERT-UA) في أوكرانيا. تم إرسال إغراءات البريد الإلكتروني المتعلقة بالحرب إلى الوكالات الحكومية الأوكرانية لنشر برنامج ضار للتجسس.
تأتي رسائل البريد الإلكتروني مرفقة بملف HTML (“مجرمو الحرب في الاتحاد الروسي.htm”). والذي يُتوج بتنزيل وتنفيذ غرسة تعتمد على PowerShell على المضيف المصاب.
أرجع فريق الاستجابة لطوارئ الحاسوب CERT-UA الهجوم إلى هرمجدون. وهو ممثل تهديد مقره روسيا وله علاقات بجهاز الأمن الفيدرالي (FSB) وله تاريخ في ضرب الكيانات الأوكرانية منذ عام 2013 على الأقل.
في فبراير 2022. ارتبطت مجموعة القرصنة بهجمات التجسس التي تستهدف الحكومة والجيش والمنظمات غير الحكومية والقضاء وإنفاذ القانون والمنظمات غير الهادفة للربح بهدف رئيسي هو سرقة المعلومات الحساسة.
يُعتقد أيضًا أن هرمجدون. المعروفة أيضًا بلقب جاماريدون. قد حددت مسؤولي حكومة لاتفيا كجزء من هجوم تصيد احتيالي ذي صلة في نهاية مارس 2022. باستخدام أرشيفات RAR ذات طابع الحرب لتقديم برامج ضارة.
من ناحية أخرى قامت حملات التصيد الاحتيالي الأخرى التي وثقتها CERT-UA في الأسابيع الأخيرة بنشر مجموعة متنوعة من البرامج الضارة. بما في ذلك GraphSteel و GrimPlant و HeaderTip و LoadEdge و SPECTR. ناهيك عن عملية يقودها Ghostwriter لتثبيت إطار عمل ما بعد الاستغلال Cobalt Strike.
هجمات GrimPlant و GraphSteel
يعتقد أن هجمات GrimPlant و GraphSteel. المرتبطة بممثل تهديد يسمى UAC-0056 (المعروف أيضًا باسم SaintBear ، UNC2589 ، TA471). قد بدأت في أوائل فبراير 2022 ، وفقًا لـ SentinelOne. التي وصفت الحمولات بأنها ثنائيات ضارة مصممة لإجراء الاستطلاع. حصاد بيانات الاعتماد وتشغيل أوامر عشوائية.
كما تم تقييم SaintBear أيضًا على أنها كانت وراء نشاط WhisperGate في أوائل يناير 2022 مما أثر على الوكالات الحكومية في أوكرانيا. حيث يقوم الممثل بإعداد البنية التحتية لحملة GrimPlant و GraphSteel بدءًا من ديسمبر 2021.
من ناحية أخرى في الأسبوع الماضي. ورطت Malwarebytes Labs طاقم القرصنة في مجموعة جديدة من هجمات أواخر مارس الموجهة ضد المنظمات الأوكرانية. بحساب قناة تلفزيونية خاصة تسمى ICTV. عن طريق إغراء التصيد بالرمح الذي يحتوي على مستندات Excel مضمنة بشكل كبير. مما أدى إلى التوزيع من الباب الخلفي GrimPlant (المعروف أيضا باسم غرسة الفيل).
بينما يأتي هذا الكشف في الوقت الذي استفادت فيه العديد من مجموعات التهديد المستمر (APT) من إيران والصين وكوريا الشمالية وروسيا من الحرب الروسية الأوكرانية الجارية كذريعة لشبكات الضحايا الخلفية وتنظيم أنشطة خبيثة أخرى.
اذا وجدت هذه المقالة مثيرة للاهتمام؟ تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.