روسيا تستهدف أوكرانيا ببرامج ضارة جديدة من نوع MASEPIE
تاريخ النشر: 29th, December 2023 GMT
حذر فريق الاستجابة لطوارئ الكمبيوتر في أوكرانيا (CERT) من حملة تصيد جديدة سمحت للمتسللين المرتبطين بروسيا بنشر برامج ضارة غير مرئية سابقًا على الشبكة في أقل من ساعة واحدة.
APT28، المعروف أيضًا باسم Fancy Bear أو Strontium، هو جهة تهديد روسية ترعاها الدولة ومعروفة باستهداف الكيانات الحكومية والشركات والجامعات ومعاهد البحوث ومراكز الأبحاث في الدول الغربية ومنظمات الناتو.
حدثت أحدث حملة استهدفت أوكرانيا في الفترة ما بين 15 و25 ديسمبر 2023، باستخدام رسائل البريد الإلكتروني التصيدية التي تحث المستلمين على النقر على رابط يُفترض أنه لعرض مستند مهم.
تعيد الروابط توجيه الضحايا إلى موارد الويب الضارة التي تستخدم جافا سكريبت لإسقاط ملف اختصار Windows (LNK) الذي يطلق أوامر PowerShell لتشغيل سلسلة عدوى لبرنامج تنزيل برامج Python الضارة الجديد المسمى "MASEPIE".
مخطط الهجوم
مخطط الهجوم (CERT في أوكرانيا)
يقوم MASEPIE بتثبيت الثبات على الجهاز المصاب عن طريق تعديل سجل Windows وإضافة ملف LNK مسمى بشكل مخادع ("SystemUpdate.lnk") إلى مجلد بدء تشغيل Windows.
يقول CERT-UA إن الدور الأساسي للبرامج الضارة هو تنزيل برامج ضارة إضافية على الجهاز المصاب وسرقة البيانات.
يقول CERT الأوكراني إن APT28 تستخدم أيضًا مجموعة من نصوص PowerShell المسماة "STEELHOOK" لسرقة البيانات من متصفحات الويب المستندة إلى Chrome، ومن المحتمل أن تستخرج معلومات حساسة مثل كلمات المرور وملفات تعريف الارتباط للمصادقة وسجل التصفح.
هناك أداة أخرى تم استخدامها كجزء من الهجوم وهي "OCEANMAP"، وهو باب خلفي لـ C# يستخدم بشكل أساسي لتنفيذ الأوامر المشفرة بـ base64 عبر cmd.exe.
يقوم OCEANMAP بتأسيس الثبات على النظام عن طريق إنشاء ملف .URL يسمى "VMSearch.url" في مجلد بدء تشغيل Windows.
يستخدم OCEANMAP بروتوكول الوصول إلى الرسائل عبر الإنترنت (IMAP) كقناة تحكم لتلقي الأوامر بشكل سري والتي من غير المرجح أن تثير الإنذارات، وتخزينها كمسودات بريد إلكتروني تحتوي على الأمر واسم المستخدم وإصدار نظام التشغيل.
بعد تنفيذ الأوامر، يقوم OCEANMAP بتخزين النتائج في دليل البريد الوارد، مما يسمح لـ APT28 باسترداد النتائج خلسة وضبط هجومها إذا لزم الأمر.
تشمل الأدوات الأخرى المستخدمة في الهجمات لاستطلاع الشبكة والحركة الجانبية IMPACKET، وهي مجموعة من فئات Python للعمل مع بروتوكولات الشبكة، وSMBEXEC، الذي يتيح تنفيذ الأوامر عن بعد.
يقول فريق CERT الأوكراني إن هذه الأدوات تم نشرها في الأنظمة المخترقة خلال ساعة من التسوية الأولية، مما يشير إلى هجوم سريع ومنسق بشكل جيد.
المصدر: بوابة الوفد
إقرأ أيضاً:
بدء فترة بناء سجل الأوامر للطرح الثانوي العام لأرامكو
بدأت أرامكو، اليوم الأحد، طرح عام ثانوي لـ 1.545 مليار سهما من أسهم الشركة من قبل الحكومة.
ويمثل ذلك نحو 0.64% من أسهم الشركة المصدرة، حيث تبدأ فترة بناء سجل الأوامر المؤسسات المكتتبة وتنتهي يوم السادس يونيو الجاري، وفق «الإخبارية».
يذكر أنه تم تحديد النطاق السعري لأسهم الطرح ما بين 26.7 ريال و 29.0 ريال للسهم الواحد، أما عدد أسهم الطرح المقرر تخصيصها لفئة المكتبيين الأفراد هي 154.5 مليون سهم تمثل نسبة 10% من أسهم الطرح (باستثناء الأسهم الصادرة بموجب أسهم خيار الشراء)، عند وجود طلب كافٍ من المكتتبين الأفراد.
أسعار الذهب في منتصف تعاملات اليوم