روسيا تستهدف أوكرانيا ببرامج ضارة جديدة من نوع MASEPIE
تاريخ النشر: 29th, December 2023 GMT
حذر فريق الاستجابة لطوارئ الكمبيوتر في أوكرانيا (CERT) من حملة تصيد جديدة سمحت للمتسللين المرتبطين بروسيا بنشر برامج ضارة غير مرئية سابقًا على الشبكة في أقل من ساعة واحدة.
APT28، المعروف أيضًا باسم Fancy Bear أو Strontium، هو جهة تهديد روسية ترعاها الدولة ومعروفة باستهداف الكيانات الحكومية والشركات والجامعات ومعاهد البحوث ومراكز الأبحاث في الدول الغربية ومنظمات الناتو.
حدثت أحدث حملة استهدفت أوكرانيا في الفترة ما بين 15 و25 ديسمبر 2023، باستخدام رسائل البريد الإلكتروني التصيدية التي تحث المستلمين على النقر على رابط يُفترض أنه لعرض مستند مهم.
تعيد الروابط توجيه الضحايا إلى موارد الويب الضارة التي تستخدم جافا سكريبت لإسقاط ملف اختصار Windows (LNK) الذي يطلق أوامر PowerShell لتشغيل سلسلة عدوى لبرنامج تنزيل برامج Python الضارة الجديد المسمى "MASEPIE".
مخطط الهجوم
مخطط الهجوم (CERT في أوكرانيا)
يقوم MASEPIE بتثبيت الثبات على الجهاز المصاب عن طريق تعديل سجل Windows وإضافة ملف LNK مسمى بشكل مخادع ("SystemUpdate.lnk") إلى مجلد بدء تشغيل Windows.
يقول CERT-UA إن الدور الأساسي للبرامج الضارة هو تنزيل برامج ضارة إضافية على الجهاز المصاب وسرقة البيانات.
يقول CERT الأوكراني إن APT28 تستخدم أيضًا مجموعة من نصوص PowerShell المسماة "STEELHOOK" لسرقة البيانات من متصفحات الويب المستندة إلى Chrome، ومن المحتمل أن تستخرج معلومات حساسة مثل كلمات المرور وملفات تعريف الارتباط للمصادقة وسجل التصفح.
هناك أداة أخرى تم استخدامها كجزء من الهجوم وهي "OCEANMAP"، وهو باب خلفي لـ C# يستخدم بشكل أساسي لتنفيذ الأوامر المشفرة بـ base64 عبر cmd.exe.
يقوم OCEANMAP بتأسيس الثبات على النظام عن طريق إنشاء ملف .URL يسمى "VMSearch.url" في مجلد بدء تشغيل Windows.
يستخدم OCEANMAP بروتوكول الوصول إلى الرسائل عبر الإنترنت (IMAP) كقناة تحكم لتلقي الأوامر بشكل سري والتي من غير المرجح أن تثير الإنذارات، وتخزينها كمسودات بريد إلكتروني تحتوي على الأمر واسم المستخدم وإصدار نظام التشغيل.
بعد تنفيذ الأوامر، يقوم OCEANMAP بتخزين النتائج في دليل البريد الوارد، مما يسمح لـ APT28 باسترداد النتائج خلسة وضبط هجومها إذا لزم الأمر.
تشمل الأدوات الأخرى المستخدمة في الهجمات لاستطلاع الشبكة والحركة الجانبية IMPACKET، وهي مجموعة من فئات Python للعمل مع بروتوكولات الشبكة، وSMBEXEC، الذي يتيح تنفيذ الأوامر عن بعد.
يقول فريق CERT الأوكراني إن هذه الأدوات تم نشرها في الأنظمة المخترقة خلال ساعة من التسوية الأولية، مما يشير إلى هجوم سريع ومنسق بشكل جيد.
المصدر: بوابة الوفد
إقرأ أيضاً:
غارات جديدة تستهدف مواقع للحوثيين في صعدة وحجة وذمار والبيضاء
عاودت مقاتلات أمريكية بريطانية، اليوم الأحد، شن غارات جوية على مواقع مفترضة للحوثيين في محافظات صعدة وحجة وذمار والبيضاء، بعد ساعات من غارات استهدفت العاصمة صنعاء.
وقالت مصادر متطابقة، إن مقاتلات أمريكية بريطانية شنت في وقت مبكر من فجر اليوم الأحد، غارات استهدفت منطقة "قحزة" شمال مدينة صعدة وأخرى في مديرية ساقين بمحافظة صعدة شمال اليمن.
وأضافت المصادر أن الغارات امتدت لمديرية "عنس" بمحافظة ذمار وأطراف مدينة ذمار عاصمة المحافظة، وغارات أخرى في مديرية "مبين" بمحافظة حجة شمال البلاد.
وأشارت المصادر لوقوع 8 غارات جوية في مديريتي القريشية ومكيراس بمحافظة البيضاء وسط اليمن.
وبحسب المصادر، فإن غارات استهدفت معسكر القصير القريب من جبل احرم الاستراتيجي بمنطقة رداع، وغارات استهدفت معهد القريشية التقني قرب منطقة حنكة آل مسعود بمديرية القريشية بمحافظة البيضاء.
ويوم أمس، هدد الرئيس الأمريكي دونالد ترامب، جماعة الحوثي بإستخدام القوة المميتة والساحقة ضدهم، بالتزامن مع بدء عملية واسعة أطقتها المركزية الأمريكية ضد جماعة الحوثي التي عاودت تهديداتها للملاحة الدولية وإعلانها حظر مرور السفن الإسرائيلية في البحرين الأحمر والعربي
وقال الرئيس الأمريكي في بيان له، "اليوم، أمرتُ الجيش الأمريكي بشنِّ عملية عسكرية حاسمة وقوية ضد الإرهابيين الحوثيين في اليمن. لقد شنّوا حملةً متواصلة من القرصنة والعنف والإرهاب ضد السفن والطائرات المُسيّرة الأمريكية وغيرها".
وأكد أن الهجمات الحوثية المتواصلة كلفت الاقتصاد الأمريكي والعالمي مليارات الدولارات، وفي الوقت نفسه، عرّضت أرواحًا بريئة للخطر.
وتابع: "لن يتم التسامح مع هجوم الحوثيين على السفن الأمريكية. سنستخدم القوة المميتة الساحقة حتى نحقق هدفنا. لقد خنق الحوثيون حركة الشحن في أحد أهم الممرات المائية في العالم، مما أدى إلى توقف مساحات شاسعة من التجارة العالمية، وهاجم المبدأ الأساسي لحرية الملاحة الذي تعتمد عليه التجارة الدولية".
وأردف: "ينفذ مقاتلونا الشجعان الآن هجمات جوية على قواعد الإرهابيين وقادتهم ودفاعاتهم الصاروخية لحماية الشحن الأمريكي والأصول الجوية والبحرية، واستعادة حرية الملاحة. لن تمنع أي قوة إرهابية السفن التجارية والبحرية الأمريكية من الإبحار بحرية في الممرات المائية في العالم".
وخاطب ترامب الحوثيين بالقول: "إلى جميع الإرهابيين الحوثيين، لقد انتهى وقتكم، ويجب أن تتوقف هجماتكم، بدءًا من اليوم. إذا لم يفعلوا ذلك، فسوف تمطر عليكم جهنم كما لم تروا من قبل!".
كما خاطب الرئيس الأمريكي إيران الداعم الرئيسي للحوثيين بقوله: "يجب أن يتوقف دعم الإرهابيين الحوثيين فورًا! لا تهددوا الشعب الأمريكي، أو رئيسهم، الذي حصل على أحد أكبر التفويضات في تاريخ الرئاسة، أو ممرات الشحن العالمية. إذا فعلت ذلك، فاحذر، لأن أمريكا سوف تحملك المسؤولية الكاملة، ولن نكون لطيفين في هذا الأمر!".
ومساء أمس، شنت مقاتلات أمريكية بريطانية، غارات جديدة على مواقع للحوثيين في صنعاء وصعدة في أول هجوم ضد الحوثيين بعد تصنيفهم "منظمة إرهابية".