روسيا تستهدف أوكرانيا ببرامج ضارة جديدة من نوع MASEPIE
تاريخ النشر: 29th, December 2023 GMT
حذر فريق الاستجابة لطوارئ الكمبيوتر في أوكرانيا (CERT) من حملة تصيد جديدة سمحت للمتسللين المرتبطين بروسيا بنشر برامج ضارة غير مرئية سابقًا على الشبكة في أقل من ساعة واحدة.
APT28، المعروف أيضًا باسم Fancy Bear أو Strontium، هو جهة تهديد روسية ترعاها الدولة ومعروفة باستهداف الكيانات الحكومية والشركات والجامعات ومعاهد البحوث ومراكز الأبحاث في الدول الغربية ومنظمات الناتو.
حدثت أحدث حملة استهدفت أوكرانيا في الفترة ما بين 15 و25 ديسمبر 2023، باستخدام رسائل البريد الإلكتروني التصيدية التي تحث المستلمين على النقر على رابط يُفترض أنه لعرض مستند مهم.
تعيد الروابط توجيه الضحايا إلى موارد الويب الضارة التي تستخدم جافا سكريبت لإسقاط ملف اختصار Windows (LNK) الذي يطلق أوامر PowerShell لتشغيل سلسلة عدوى لبرنامج تنزيل برامج Python الضارة الجديد المسمى "MASEPIE".
مخطط الهجوم
مخطط الهجوم (CERT في أوكرانيا)
يقوم MASEPIE بتثبيت الثبات على الجهاز المصاب عن طريق تعديل سجل Windows وإضافة ملف LNK مسمى بشكل مخادع ("SystemUpdate.lnk") إلى مجلد بدء تشغيل Windows.
يقول CERT-UA إن الدور الأساسي للبرامج الضارة هو تنزيل برامج ضارة إضافية على الجهاز المصاب وسرقة البيانات.
يقول CERT الأوكراني إن APT28 تستخدم أيضًا مجموعة من نصوص PowerShell المسماة "STEELHOOK" لسرقة البيانات من متصفحات الويب المستندة إلى Chrome، ومن المحتمل أن تستخرج معلومات حساسة مثل كلمات المرور وملفات تعريف الارتباط للمصادقة وسجل التصفح.
هناك أداة أخرى تم استخدامها كجزء من الهجوم وهي "OCEANMAP"، وهو باب خلفي لـ C# يستخدم بشكل أساسي لتنفيذ الأوامر المشفرة بـ base64 عبر cmd.exe.
يقوم OCEANMAP بتأسيس الثبات على النظام عن طريق إنشاء ملف .URL يسمى "VMSearch.url" في مجلد بدء تشغيل Windows.
يستخدم OCEANMAP بروتوكول الوصول إلى الرسائل عبر الإنترنت (IMAP) كقناة تحكم لتلقي الأوامر بشكل سري والتي من غير المرجح أن تثير الإنذارات، وتخزينها كمسودات بريد إلكتروني تحتوي على الأمر واسم المستخدم وإصدار نظام التشغيل.
بعد تنفيذ الأوامر، يقوم OCEANMAP بتخزين النتائج في دليل البريد الوارد، مما يسمح لـ APT28 باسترداد النتائج خلسة وضبط هجومها إذا لزم الأمر.
تشمل الأدوات الأخرى المستخدمة في الهجمات لاستطلاع الشبكة والحركة الجانبية IMPACKET، وهي مجموعة من فئات Python للعمل مع بروتوكولات الشبكة، وSMBEXEC، الذي يتيح تنفيذ الأوامر عن بعد.
يقول فريق CERT الأوكراني إن هذه الأدوات تم نشرها في الأنظمة المخترقة خلال ساعة من التسوية الأولية، مما يشير إلى هجوم سريع ومنسق بشكل جيد.
المصدر: بوابة الوفد
إقرأ أيضاً:
روسيا تسيطر على منطقتين في شرق أوكرانيا
أعلنت وزارة الدفاع الروسية أمس الجمعة، أن القوات الروسية سيطرت على منطقتين على الجبهة في منطقة دونيتسك بشرق البلاد.
وأوضحت الوزارة أن القوات الروسية سيطرت على قرية زيليني بولي الواقعة بين بوكروفسك، النقطة المحورية للهجمات الروسية في المنطقة، وفيليوكا نوفوسيلكا، وهي منطقة قال الجيش الروسي إنه سيطر عليها في أواخر الشهر الماضي.
وبحسب التقرير الروسي، فقد تم الاستيلاء أيضاً على قرية داخني الواقعة إلى الغرب من بلدة كوراخوف، والتي قال الجيش الروسي إنه سيطر عليها أيضا الشهر الماضي، وكانت البلدة قد تعرضت لأسابيع من القتال العنيف.
⚡️ الدفاع الروسية: منظومات الدفاع الجوي تدمر 40 طائرة بدون طيار أوكرانية فوق أراضي 4 مقاطعات خلال الليل
— Sputnik Arabic (@sputnik_ar) February 15, 2025وقالت هيئة الأركان العامة للجيش الأوكراني في تقريرها الذي صدر في وقت متأخر من المساء، إن القريتين كانتا من بين 11 منطقة سكنية تعرضت لهجوم روسي في قطاع بوكروفسك، لكنها لم تذكر أي شيء عن خضوعهما للسيطرة الروسية.
اليونيفيل: هجوم أنصار حزب الله غير مقبول