أخرى
#Gamaredon
#Phishing
هجمات Gamaredon: تصيد متطور ضد أوكرانيا
تستخدم مجموعة Gamaredon، المرتبطة بروسيا، هجمات تصيد متطورة تستهدف الكيانات الحكومية الأوكرانية، بعد أن وسعت سابقًا نطاق استهدافها ليشمل دول الناتو. وفقًا للبحث الذي نشره زولتان روسناك من ESET، فإن هذا الفاعل المدعوم من الدولة قد عاد الآن لاستهداف المؤسسات الحكومية الأوكرانية فقط. يتم ذلك من خلال حملات تصيد مستهدفة، بالإضافة إلى هجمات تتضمن استخدام محركات الشبكة وأجهزة USB المعطلة.
لاحظ روسناك زيادة ملحوظة في تطور نشاط التهديدات التي تتبعها المجموعة مؤخرًا، ويرجع ذلك جزئيًا إلى مجموعة أدوات جديدة، وجزئيًا بسبب تقنيات التعتيم المتقدمة التي تشمل النطاقات الفرعية لـ Cloudflare.
هجمات Gamaredon
وفقًا للورقة البيضاء، فإن Gamaredon (المعروفة أيضًا باسم الدب البدائي) نشطة منذ عام 2013 على الأقل، وتعمل كجزء من جهاز الأمن الفيدرالي الروسي (FSB) في الأراضي المحتلة في شبه جزيرة القرم. يقول الباحثون في ESET، الذين يتتبعون المجموعة لعدة سنوات، إنهم يعتقدون أن Gamaredon تتعاون مع فاعل تهديد آخر يُعرف باسم "InvisiMole".
كتب روسناك أن Gamaredon تُعتبر بشكل أساسي فاعل تجسس إلكتروني "معروف بأسلوبه غير المتطور والصاخب"، لكنه لاحظ تحسنًا كبيرًا في تعزيز عدد من أدواته بقدرات خفية. على سبيل المثال، كتب روسناك: "تم استخدام طريقة استمرارية غير شائعة عبر إضافة Excel في أداة جديدة أطلقنا عليها اسم PteroGraphin، وتم استخدام اشتراك أحداث WMI وكائن FileSystemWatcher في PteroPSDoor لتقليل كثرة عمليات نظام الملفات عند البحث عن ملفات للتسريب، وتم إعادة تصميم العديد من الأدوات لتكون موجودة في سجل Windows بدلاً من الملفات على نظام الملفات".
وجد روسناك أنه خلال عام 2024، حصلت Gamaredon بشكل أساسي على الوصول الأولي من خلال التصيد المستهدف، وكانت تستخدم "برمجيات خبيثة مخصصة تستغل أجهزة USB ومحركات الشبكة". فيما يتعلق بالتصيد المستهدف، قال روسناك إن Gamaredon كانت تدير حملات تستمر من يوم إلى خمسة أيام، محاولًا الوصول إلى هدف من خلال بريد إلكتروني مزيف يدعي، على سبيل المثال، أن الضحية قد تم استدعاؤها.
"أرسلت Gamaredon رسائل إلكترونية إما مع أرشيفات من أنواع مختلفة (RAR، ZIP، 7z) مرفقة، أو مع ملفات XHTML مرفقة تستخدم تقنية التهريب HTML لمحاكاة عملية تحميل مثل هذه الأرشيفات،" أوضح روسناك. "تحتوي هذه الأرشيفات إما على ملف HTA أو ملف LNK الذي يشغل mshta.exe مع عنوان URL كوسيط لتحميل ملف HTA آخر. يحتوي ملف HTA الذي تم تحميله على أداة تحميل VBScript مدمجة — PteroSand — يمكن أن توصل حمولات إضافية."
اعتمادًا على الحملة، قد يقوم الملف .LNK الأول الذي تم تحميله إما بتشغيل تنفيذ كود ثنائي mshta.exe أو أمر PowerShell يقوم بتحميل حمولات من نطاق فرعي تم إنشاؤه بواسطة Cloudflare يديره المهاجم. أما بالنسبة لتكتيك الوصول الأولي الآخر، فكانت Gamaredon تقوم بنشر أدوات التسلح على الأنظمة التي تم اختراقها مسبقًا للتحرك بشكل جانبي. كانت الأدوات تقوم بنسخ نفسها إلى محركات USB أو الشبكة المتصلة وتخلق ملفات LNK خبيثة على أمل أن يشارك الهدف المخترق محرك الأقراص مع هدف محتمل آخر.
بمجرد اختراق الهدف، كان الفاعل ينتقل بعد ذلك إلى أنشطته المتعلقة بالتجسس. ومن الاستثناءات الملحوظة التي أوضحتها ESET وجود حمولات VBScript التي تفتح رابطًا ثابتًا لقناة Telegram تركز على نشر الدعاية الروسية.
تكتيكات Gamaredون الجديدة
تفصل الورقة البيضاء ست أدوات جديدة استخدمتها Gamaredon، وهو عدد أقل قليلاً من العامين الماضيين. تشمل هذه الأدوات: أداة الاستطلاع المعتمدة على PowerShell PteroDespair؛ أداة التسلح المعتمدة على PowerShell PteroTickle؛ أداة التحميل المستمر PteroGraphin؛ أداة التحميل / التسلح PteroQuark؛ أداة تحميل VBScript العامة PteroStew؛ وأداة سرقة / تسريب الملفات المعتمدة على PowerShell PteroBox.
كما أوضح روسناك كيف تم تحديث أداة الاتصال السابقة، PteroPSLoad، لاستخدام أنفاق Cloudflare كجزء من جهد واسع النطاق لإخفاء بنية التحكم والسيطرة (C2) الخاصة بها خلف النطاقات الفرعية لـ Cloudflare. أصبحت النطاقات الفرعية لـ Cloudflare (لا سيما خدمة الأنفاق الخاصة بها) تكتيكًا شائعًا بشكل متزايد للفاعلين في السنوات الأخيرة لأنها تسمح للفاعل الاعتماد على شبكة توصيل المحتوى (CDN) الخاصة بـ Cloudflare والشهادات الموثوقة.
"تجمع الطبقة المجانية من عمال / أنفاق Cloudflare مع الحلول مثل Telegram / Telegraph، كما استخدمته Gamaredon، هو في الأساس نسخة أرخص بكثير من DNS سريع التحويل، لأن الفاعلين لا يحتاجون إلى تسجيل (ودفع ثمن) النطاقات،" يقول روسناك لـ Dark Reading. "أيضًا، تم تصميم هذه الخدمات لتكون سهلة الإعداد، وبفضل واجهات برمجة التطبيقات، من المحتمل أن يكون من السهل جدًا إدارة كل شيء."
أخيرًا، كتب روسناك أن Gamaredon "استثمرت جهدًا كبيرًا في طرق تهدف إلى تجاوز الحجب القائم على الشبكة." وقد فعلت ذلك من خلال استخدام روابط بديلة للوصول إلى قنوات Telegram وعناوين خوادم C2، وحل النطاقات من خلال مواقع حل النطاقات التابعة لجهات خارجية، واسترجاع عناوين C2 بطرق أخرى معقدة قليلاً، مثل "إسقاط وتنفيذ البرامج النصية المدمجة (HTA عبر mshta.exe أو VBScript عبر wscript.exe) التي تخزن عناوين C2 المحلولة في ملف نصي مؤقت."
يشير روسناك أيضًا إلى أن الهجمات التي تعتمد على التصيد المستهدف ضد أوكرانيا أثبتت نجاحها، على الرغم من أن هذه الأنواع من الهجمات مستمرة على الأقل منذ بداية الغزو. يقول: "أعتقد أنه على الرغم من الجهد المنخفض الذي تتطلبه هذه الحملات، إلا أنها تبدو ناجحة للغاية، على الأقل في حالة غاماريدون". "أعتقد أنه لو لم يكن الأمر كذلك، لكانوا قد توصلوا بالفعل إلى شيء آخر ولم يتمسكوا بنفس الأساليب لفترة طويلة جدًا."
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!