روسيا تستهدف أوكرانيا ببرامج ضارة جديدة من نوع MASEPIE
تاريخ النشر: 29th, December 2023 GMT
حذر فريق الاستجابة لطوارئ الكمبيوتر في أوكرانيا (CERT) من حملة تصيد جديدة سمحت للمتسللين المرتبطين بروسيا بنشر برامج ضارة غير مرئية سابقًا على الشبكة في أقل من ساعة واحدة.
APT28، المعروف أيضًا باسم Fancy Bear أو Strontium، هو جهة تهديد روسية ترعاها الدولة ومعروفة باستهداف الكيانات الحكومية والشركات والجامعات ومعاهد البحوث ومراكز الأبحاث في الدول الغربية ومنظمات الناتو.
حدثت أحدث حملة استهدفت أوكرانيا في الفترة ما بين 15 و25 ديسمبر 2023، باستخدام رسائل البريد الإلكتروني التصيدية التي تحث المستلمين على النقر على رابط يُفترض أنه لعرض مستند مهم.
تعيد الروابط توجيه الضحايا إلى موارد الويب الضارة التي تستخدم جافا سكريبت لإسقاط ملف اختصار Windows (LNK) الذي يطلق أوامر PowerShell لتشغيل سلسلة عدوى لبرنامج تنزيل برامج Python الضارة الجديد المسمى "MASEPIE".
مخطط الهجوم
مخطط الهجوم (CERT في أوكرانيا)
يقوم MASEPIE بتثبيت الثبات على الجهاز المصاب عن طريق تعديل سجل Windows وإضافة ملف LNK مسمى بشكل مخادع ("SystemUpdate.lnk") إلى مجلد بدء تشغيل Windows.
يقول CERT-UA إن الدور الأساسي للبرامج الضارة هو تنزيل برامج ضارة إضافية على الجهاز المصاب وسرقة البيانات.
يقول CERT الأوكراني إن APT28 تستخدم أيضًا مجموعة من نصوص PowerShell المسماة "STEELHOOK" لسرقة البيانات من متصفحات الويب المستندة إلى Chrome، ومن المحتمل أن تستخرج معلومات حساسة مثل كلمات المرور وملفات تعريف الارتباط للمصادقة وسجل التصفح.
هناك أداة أخرى تم استخدامها كجزء من الهجوم وهي "OCEANMAP"، وهو باب خلفي لـ C# يستخدم بشكل أساسي لتنفيذ الأوامر المشفرة بـ base64 عبر cmd.exe.
يقوم OCEANMAP بتأسيس الثبات على النظام عن طريق إنشاء ملف .URL يسمى "VMSearch.url" في مجلد بدء تشغيل Windows.
يستخدم OCEANMAP بروتوكول الوصول إلى الرسائل عبر الإنترنت (IMAP) كقناة تحكم لتلقي الأوامر بشكل سري والتي من غير المرجح أن تثير الإنذارات، وتخزينها كمسودات بريد إلكتروني تحتوي على الأمر واسم المستخدم وإصدار نظام التشغيل.
بعد تنفيذ الأوامر، يقوم OCEANMAP بتخزين النتائج في دليل البريد الوارد، مما يسمح لـ APT28 باسترداد النتائج خلسة وضبط هجومها إذا لزم الأمر.
تشمل الأدوات الأخرى المستخدمة في الهجمات لاستطلاع الشبكة والحركة الجانبية IMPACKET، وهي مجموعة من فئات Python للعمل مع بروتوكولات الشبكة، وSMBEXEC، الذي يتيح تنفيذ الأوامر عن بعد.
يقول فريق CERT الأوكراني إن هذه الأدوات تم نشرها في الأنظمة المخترقة خلال ساعة من التسوية الأولية، مما يشير إلى هجوم سريع ومنسق بشكل جيد.
المصدر: بوابة الوفد
إقرأ أيضاً:
روسيا تعلن قصف مجمع صناعي عسكري في أوكرانيا
قالت وزارة الدفاع الروسية، اليوم الخميس، إنها شنت ضربة ضخمة الليلة الماضية على مجمع صناعي عسكري في أوكرانيا باستخدام طائرات مسيرة وأسلحة عالية الدقة وبعيدة المدى أطلقتها من الجو والبر والبحر.
وذكرت الوزارة، في بيان، أنها قصفت مصانع تابعة لقطاعات الطيران والصواريخ والفضاء وتصنيع المعدات وإنتاج المركبات المدرعة في أوكرانيا، بالإضافة إلى منشآت لتصنيع وقود الصواريخ والبارود.
وقال مسؤولون أوكرانيون، اليوم الخميس، تعرض العاصمة كييف لقصف بصواريخ وطائرات مسيرة الليلة الماضية.
عاجل. وسائل إعلام إيرانية: انفجار عنيف هز ميناء رجائي بمدينة بندر عباس والأسباب قيد التحقيق