جهة التهديد UNC3944 ذات الدوافع المالية تحول التركيز إلى هجمات برامج الفدية. كشفت شركة Mandiant أن مجموعة القرصنة المعروفة باسم UNC3944. والتي تهدف إلى تحقيق أرباح مالية. تحول تركيزها إلى نشر برامج الفدية كجزء من توسعها في استراتيجيات تحقيق الدخل.
وقالت شركة Mandiant: “أبدى UNC3944 تركيزًا أقوى على سرقة كميات كبيرة من البيانات الحساسة لأغراض الابتزاز. ويبدو أنهم يفهمون ممارسات العمل الغربية. ربما بسبب التركيبة الجغرافية للمجموعة”.
“اعتمد UNC3944 أيضًا باستمرار على الأدوات المتاحة للجمهور والبرمجيات المشروعة جنبًا إلى جنب مع البرامج الضارة المتاحة للشراء في المنتديات السرية”.
وقد نشطت المجموعة، والمعروفة أيضًا باسم 0ktapus و Scatter Swine و Scattered Spider، منذ أوائل عام 2022. حيث اعتمدت على الهندسة الاجتماعية عبر الهاتف والتصيد عبر الرسائل القصيرة للحصول على بيانات اعتماد صالحة للموظفين باستخدام صفحات تسجيل دخول مزيفة والتسلل إلى مؤسسات الضحايا، مما يعكس الأساليب التي تتبناها مجموعة أخرى تسمى LAPSUS$.
بينما ركزت المجموعة في الأصل على شركات الاتصالات وشركات استعانة العمليات التجارية (BPO). فقد وسعت استهدافها منذ ذلك الحين لتشمل الضيافة وتجارة التجزئة والإعلام والترفيه والخدمات المالية. مما يدل على التهديد المتزايد.
من السمات الرئيسية لفاعلي التهديد أنهم معروفون باستغلال بيانات اعتماد الضحية لتقمص شخصية الموظف في المكالمات إلى مكتب خدمة المؤسسة في محاولة للحصول على رموز المصادقة متعددة العوامل (MFA) و/أو إعادة تعيين كلمات المرور.
شركة Okta حذرت العملاء.
تجدر الإشارة إلى أن شركة Okta حذرت العملاء في وقت سابق من هذا الشهر من نفس الهجمات. حيث قامت عصابة الجرائم الإلكترونية بالاتصال بخدمات المساعدة التقنية للضحايا لخداع موظفي الدعم لإعادة تعيين رموز MFA للموظفين ذوي الامتيازات العالية. مما يسمح لهم بالوصول إلى تلك الحسابات القيمة.
في إحدى الحالات. قيل إن موظفًا قام بتثبيت برنامج RECORDSTEALER الضار من خلال تنزيل برنامج مزيف. مما أدى لاحقًا إلى تسهيل سرقة بيانات الاعتماد. تتمكن صفحات تسجيل الدخول المارقة. المصممة باستخدام مجموعات أدوات التصيد الاحتيالي مثل EIGHTBAIT وغيرها. من إرسال بيانات الاعتماد التي تم التقاطها إلى قناة Telegram التي يسيطر عليها الجناة ونشر AnyDesk.
كما لوحظ أن الخصم يستخدم مجموعة متنوعة من برامج سرقة المعلومات (على سبيل المثال، Atomic و ULTRAKNOT أو Meduza و Vidar) وأدوات سرقة بيانات الاعتماد (على سبيل المثال. MicroBurst) للحصول على الوصول المميز اللازم لتحقيق أهدافه وتعزيز عملياته.
يشمل جزء من نشاط UNC3944 استخدام خدمات الوكيل السكنية التجارية للوصول إلى ضحاياهم لتجنب الاكتشاف واستخدام برمجيات الوصول عن بُعد المشروعة. بالإضافة إلى إجراء استطلاع واسع النطاق للدليل والشبكة للمساعدة في تصعيد الامتيازات والحفاظ على الاستمرارية.
ومن الجدير بالذكر أيضًا سوء استخدام موارد سحابة مؤسسة الضحية لاستضافة الأدوات المساعدة الضارة لتعطيل جدار الحماية وبرنامج الأمان وتسليمهما إلى نقاط نهاية أخرى. مما يؤكد على تطور أساليب القرصنة للمجموعة.
تأتي آخر النتائج مع ظهور المجموعة كشريك تابع لمجموعة برامج الفدية BlackCat (المعروفة أيضًا باسم ALPHV أو Noberus). حيث تستفيد من مكانتها المكتشفة حديثًا لاختراق MGM Resorts وتوزيع برامج الفدية التي تشفر الملفات.
وأشارت شركة Mandiant إلى أن “فاعلي التهديد يعملون بوتيرة تشغيلية عالية للغاية. حيث يتصلون بالأنظمة الحيوية ويستخرجون كميات كبيرة من البيانات على مدار بضعة أيام”.
جهة التهديد UNC3944 ذات الدوافع المالية تحول التركيز إلى هجمات برامج الفدية. كما تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.