تحذير من حملة تصيد جديدة تستهدف حكومات ودول عربية ببرامج ضارة. كشف فريق استجابة الطوارئ الحاسوبية الأوكراني (CERT-UA) عن حملة تصيد جديدة مرتبطة بمجموعة APT28 الروسية تستهدف نشر برامج ضارة غير مسجلة من قبل مثل OCEANMAP وMASEPIE وSTEELHOOK لسرقة معلومات حساسة.
اكتشفت هذه الحملة، التي امتدت بين 15 و25 ديسمبر 2023. جهات حكومية أوكرانية ومنظمات بولندية برسائل بريد إلكتروني تحث المستلمين على النقر على رابط لعرض مستند.
بالمقابل. تعيد الروابط توجيه المستخدمين إلى مواقع ويب ضارة تستغل JavaScript وبروتوكول “search-ms:” لإنشاء ملف اختصار Windows (LNK) يطلق أوامر PowerShell لتفعيل سلسلة إصابة ببرنامج ضار جديد يسمى MASEPIE.
MASEPIE عبارة عن أداة مبنية على Python لتحميل/رفع الملفات وتنفيذ الأوامر. حيث يتم التواصل مع خادم الأمر والتحكم (C2) عبر قناة مشفرة باستخدام بروتوكول TCP.
تمهد الهجمات أيضًا لنشر برامج ضارة إضافية. بما في ذلك نص PowerShell يسمى STEELHOOK قادر على جمع بيانات متصفح الويب وتصديرها إلى خادم يسيطر عليه مهاجم بتنسيق Base64.
كما يتم تسليم باب خلفي مبني على C# يسمى OCEANMAP مصمم لتشغيل الأوامر باستخدام cmd.exe.
يقول CERT-UA: “بروتوكول IMAP يستخدم كقناة تحكم”. مضيفا أن “الاستمرارية تتحقق من خلال إنشاء ملف URL يسمى “VMSearch.url” في مجلد بدء التشغيل في Windows.
تحتوي المسودات.
“المسودات” في أدلة البريد الإلكتروني المقابلة على الأوامر بتنسيق Base64. ويحتوي كل مسودة على اسم الكمبيوتر واسم المستخدم وإصدار نظام التشغيل. يتم تخزين نتائج الأوامر في دليل صندوق الوارد.”
أشارت الوكالة أيضًا إلى أن أنشطة الاستكشاف والحركة الجانبية تتم في غضون ساعة من الاختراق الأولي باستخدام أدوات مثل Impacket وSMBExec.
يأتي الكشف بعد أسابيع من كشف IBM X-Force عن استخدام .APT28 لأطراف ذات صلة بالحرب الدائرة بين إسرائيل وحماس لتسهيل تسليم باب خلفي مخصص يسمى HeadLace.
في الأسابيع الأخيرة. يعزى أيضًا إلى مجموعة القرصنة الروسية الشهيرة استغلال خلل أمني حرجي تم إصلاحه الآن في خدمة البريد الإلكتروني Outlook (CVE-2023-23397. درجة CVSS: 9.8) للحصول على وصول غير مصرح به إلى حسابات الضحايا داخل خوادم Exchange.
تحذير من حملة تصيد جديدة تستهدف حكومات ودول عربية ببرامج ضارة. تابعً على Facebook او Instagram او YouTube او X لقراءة المزيد من المحتوى الحصري الذي ننشره.