روسيا تستهدف أوكرانيا ببرامج ضارة جديدة من نوع MASEPIE
تاريخ النشر: 29th, December 2023 GMT
حذر فريق الاستجابة لطوارئ الكمبيوتر في أوكرانيا (CERT) من حملة تصيد جديدة سمحت للمتسللين المرتبطين بروسيا بنشر برامج ضارة غير مرئية سابقًا على الشبكة في أقل من ساعة واحدة.
APT28، المعروف أيضًا باسم Fancy Bear أو Strontium، هو جهة تهديد روسية ترعاها الدولة ومعروفة باستهداف الكيانات الحكومية والشركات والجامعات ومعاهد البحوث ومراكز الأبحاث في الدول الغربية ومنظمات الناتو.
حدثت أحدث حملة استهدفت أوكرانيا في الفترة ما بين 15 و25 ديسمبر 2023، باستخدام رسائل البريد الإلكتروني التصيدية التي تحث المستلمين على النقر على رابط يُفترض أنه لعرض مستند مهم.
تعيد الروابط توجيه الضحايا إلى موارد الويب الضارة التي تستخدم جافا سكريبت لإسقاط ملف اختصار Windows (LNK) الذي يطلق أوامر PowerShell لتشغيل سلسلة عدوى لبرنامج تنزيل برامج Python الضارة الجديد المسمى "MASEPIE".
مخطط الهجوم
مخطط الهجوم (CERT في أوكرانيا)
يقوم MASEPIE بتثبيت الثبات على الجهاز المصاب عن طريق تعديل سجل Windows وإضافة ملف LNK مسمى بشكل مخادع ("SystemUpdate.lnk") إلى مجلد بدء تشغيل Windows.
يقول CERT-UA إن الدور الأساسي للبرامج الضارة هو تنزيل برامج ضارة إضافية على الجهاز المصاب وسرقة البيانات.
يقول CERT الأوكراني إن APT28 تستخدم أيضًا مجموعة من نصوص PowerShell المسماة "STEELHOOK" لسرقة البيانات من متصفحات الويب المستندة إلى Chrome، ومن المحتمل أن تستخرج معلومات حساسة مثل كلمات المرور وملفات تعريف الارتباط للمصادقة وسجل التصفح.
هناك أداة أخرى تم استخدامها كجزء من الهجوم وهي "OCEANMAP"، وهو باب خلفي لـ C# يستخدم بشكل أساسي لتنفيذ الأوامر المشفرة بـ base64 عبر cmd.exe.
يقوم OCEANMAP بتأسيس الثبات على النظام عن طريق إنشاء ملف .URL يسمى "VMSearch.url" في مجلد بدء تشغيل Windows.
يستخدم OCEANMAP بروتوكول الوصول إلى الرسائل عبر الإنترنت (IMAP) كقناة تحكم لتلقي الأوامر بشكل سري والتي من غير المرجح أن تثير الإنذارات، وتخزينها كمسودات بريد إلكتروني تحتوي على الأمر واسم المستخدم وإصدار نظام التشغيل.
بعد تنفيذ الأوامر، يقوم OCEANMAP بتخزين النتائج في دليل البريد الوارد، مما يسمح لـ APT28 باسترداد النتائج خلسة وضبط هجومها إذا لزم الأمر.
تشمل الأدوات الأخرى المستخدمة في الهجمات لاستطلاع الشبكة والحركة الجانبية IMPACKET، وهي مجموعة من فئات Python للعمل مع بروتوكولات الشبكة، وSMBEXEC، الذي يتيح تنفيذ الأوامر عن بعد.
يقول فريق CERT الأوكراني إن هذه الأدوات تم نشرها في الأنظمة المخترقة خلال ساعة من التسوية الأولية، مما يشير إلى هجوم سريع ومنسق بشكل جيد.
المصدر: بوابة الوفد
إقرأ أيضاً:
أوكرانيا تكشف عن تطورات جديدة بخصوص اتفاق المعادن مع أمريكا
قالت وزيرة الاقتصاد الأوكرانية يوليا سفيريدينكو، إن أوكرانيا تعتزم إرسال فريق إلى واشنطن الأسبوع القادم.
وتستهدف كييف بدء مفاوضات بشأن مسودة جديدة لاتفاق من شأنها أن تمنح الولايات المتحدة إمكانية الوصول إلى الموارد المعدنية النادرة في أوكرانيا.بنود اتفاق المعادن بين أمريكا وأوكرانياوأوضحت سفيريدينكو أمس السبت خلال زيارة إلى شمالي أوكرانيا أن "مسودة الاتفاق الجديدة المقدمة من الولايات المتحدة تظهر أن النية لإنشاء صندوق أو إقامة استثمار مشترك لا تزال قائمة".
أخبار متعلقة وفاة طفل ثان.. مرض مرتبط بالحصبة يتفشى في تكساس الأمريكيةالأمطار الغزيرة تقتل نحو 30 شخصًا في الكونغو الديموقراطيةومن المقرر أن يضم الوفد من كييف ممثلين عن وزارات الاقتصاد والشؤون الخارجية والعدل والمالية.
وقد أدت المفاوضات طويلة الأمد بشأن التوصل لاتفاق بخصوص المعادن بالفعل إلى توتر العلاقات بين كييف وواشنطن.
.article-img-ratio{ display:block;padding-bottom: 67%;position:relative; overflow: hidden;height:0px; } .article-img-ratio img{ object-fit: contain; object-position: center; position: absolute; height: 100% !important;padding:0px; margin: auto; width: 100%; } أوكرانيا تكشف عن تطورات جديدة بخصوص اتفاق المعادن مع أمريكا - وكالاتالمعادن الأوكرانيةوكان الطرفان يستعدان في فبراير لتوقيع اتفاق إطار، لكن الخطة تعثرت بعد اجتماع مثير للجدل في المكتب البيضاوي بين الرئيس الأمريكي دونالد ترامب، ونائبه جي دي فانس، من جهة والرئيس الأوكراني فولوديمير زيلينسكي من جهة أخرى.
وبعد تسريب مسودة الاتفاق الجديدة من جانب بعض أعضاء البرلمان الأوكراني، انتقدها معارضون وعدّوها محاولة لتجريد كييف من سيطرتها على مواردها الطبيعية وبنيتها التحتية.اتفاق المعادن الأمريكي الأوكرانيووفقا للوثيقة المسربة، فإن المسودة الجديدة تشمل ليس فقط المعادن النادرة، بل أيضا الغاز والنفط.
ومع ذلك، التزم المسؤولون الأوكرانيون بالحذر في التعليق على محتويات المسودة، مؤكدين أنها تعكس حاليًا موقف طرف واحد فقط.
وقالت سفيريدينكو: "ما لدينا الآن هو وثيقة تعكس موقف الفريق القانوني لوزارة الخزانة الأمريكية، وهذه ليست النسخة النهائية، وليست موقفًا مشتركًا.