برامج ضارة تستهدف موظفين

برامج ضارة تستهدف موظفين أوكرانيين في الخارج عبر WinRAR.

برامج ضارة تستهدف موظفين أوكرانيين في الخارج عبر WinRAR. كشفت شركة الأمن الإلكتروني Deep Instinct عن استمرار قراصنة مرتبطين بجماعة “UAC-0099” في استهداف الموظفين الأوكرانيين العاملين في شركات خارج أوكرانيا، باستخدام ثغرة خطيرة في برنامج WinRAR لتوصيل برامج ضارة جديدة باسم “LONEPAGE”.

أشارت Deep Instinct في تحليل يوم الخميس الماضي إلى أن “المهاجم يستهدف الموظفين الأوكرانيين العاملين في شركات خارج أوكرانيا”.

اكتشف فريق الاستجابة للحوادث الأمنية الإلكترونية في أوكرانيا (CERT-UA) نشاط المجموعة لأول مرة في يونيو 2023. حيث كشف عن هجمات تستهدف مؤسسات حكومية وإعلامية لأغراض التجسس. واستخدمت الهجمات آنذاك رسائل تصيد تحتوي على ملفات HTA و RAR و LNK كطُعوم لنشر LONEPAGE. وهو برنامج ضار يعمل باللغة VB Script ويمكنه الاتصال بخادم تحكم واستقبال حمولات إضافية مثل برامج تسجيل ضغطات المفاتيح وبرامج سرقة البيانات وبرامج التقاط لقطات الشاشة.

وقال CERT-UA آنذاك:

“خلال عامي 2022 و 2023. حصلت هذه المجموعة على وصول غير مصرح به عن بعد إلى عدة عشرات من أجهزة الكمبيوتر في أوكرانيا”.

كشف تحليل Deep Instinct الأخير أن استخدام مرفقات HTA ليس سوى إحدى طرق العدوى الثلاثة المختلفة. ويستخدم الآخران أرشيفات ذاتية الاستخراج وملفات ZIP محاصرة. تستغل ملفات ZIP ثغرة WinRAR (CVE-2023-38831) لتوزيع LONEPAGE.

في الطريقة الأولى. يحتوي ملف SFX على اختصار LNK متنكر في هيئة ملف DOCX لإستدعاء قضائي بينما يستخدم رمز Microsoft WordPad لإغراء الضحية بفتحه. مما يؤدي إلى تنفيذ تعليمات PowerShell ضارة تنشر برنامج LONEPAGE الضار.

يستخدم تسلسل الهجوم الآخر أرشيف ZIP مصمم خصيصًا معرض لثغرة CVE-2023-38831. حيث عثرت Deep Instinct على نموذجين من هذه الملفات أنشأها UAC-0099 في 5 أغسطس 2023. بعد ثلاثة أيام فقط من إصدار مشرفي WinRAR لتصحيح للخلل.

قالت الشركة: “التكتيكات التي تستخدمها ‘UAC-0099’ بسيطة ولكنها فعالة. على الرغم من اختلاف طرق العدوى الأولية. فإن العدوى الأساسية هي نفسها – فهي تعتمد على PowerShell وإنشاء مهمة مجدولة تقوم بتنفيذ ملف VBS.”

تأتي هذه التطورات بعد أن حذر CERT-UA من موجة جديدة من رسائل التصيد التي تدعي أنها مستحقات Kyivstar غير المدفوعة لنشر حصان طروادة للوصول عن بعد يُعرف باسم Remcos RAT. وعزت الوكالة الحملة إلى “UAC-0050”.

برامج ضارة تستهدف موظفين أوكرانيين في الخارج عبر WinRAR. تابعً على Facebook او Instagram او YouTube او X لقراءة المزيد من المحتوى الحصري الذي ننشره.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

اختار العملة