الصفحات
بحث
ربط المملكة المتحدة GRU ببرمجيات خبيثة لسرقة بيانات Microsoft 365
الأمن السيبراني #Microsoft365 #APT28

ربط المملكة المتحدة GRU ببرمجيات خبيثة لسرقة بيانات Microsoft 365

تاريخ النشر: آخر تحديث: 21 مشاهدة 0 تعليق 3 دقائق قراءة
مروان المسلماني
مروان المسلماني رئيس التحرير والمؤسس
21 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

في خطوة جديدة لتعزيز الأمن السيبراني، أعلن المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) عن ربط برمجيات خبيثة تُعرف باسم 'Authentic Antics' بمجموعة APT28، المعروفة أيضاً باسم Fancy Bear، والتي ترتبط بالفعل بجهاز الاستخبارات العسكرية الروسية (GRU).

UK ties GRU to stealthy Microsoft 365 credential-stealing malware
UK ties GRU to stealthy Microsoft 365 credential-stealing malware

كشف المركز في تحليل تقني مفصل عن برمجيات Authentic Antics، والذي يعود تاريخه إلى 6 مايو، أنها تقوم بسرقة بيانات الاعتماد ورموز OAuth 2.0 التي تسمح بالوصول إلى حسابات البريد الإلكتروني المستهدفة.

تم رصد استخدام البرمجيات الخبيثة في عام 2023، وتعمل داخل عملية Outlook، مما ينتج عنه ظهور عدة مطالبات تسجيل دخول Microsoft في محاولاتها لاعتراض بيانات تسجيل الدخول ورمز التفويض للضحية.

يقول المركز إن تطبيقات Microsoft 365 قابلة للتكوين لكل مستأجر، مما يعني أن البيانات الحساسة قد تعمل أيضاً مع Exchange Online وSharePoint وOneDrive.

تقوم Authentic Antics بإخراج البيانات المسروقة باستخدام حساب Outlook الخاص بالضحية لإرسالها إلى عنوان بريد إلكتروني يتحكم به المهاجم، وتخفي العملية عن طريق تعطيل خيار "حفظ في المرسلة".

The fake login prompt served to the target
The fake login prompt served to the target
مطالبة تسجيل دخول مزيفة تم تقديمها للهدف
المصدر: NCSC

تتكون Authentic Antics من عدة مكونات تشمل مُشغل، وبرنامج لجمع المعلومات، والعديد من سكربتات PowerShell.

يقول المركز الوطني للأمن السيبراني إن Authentic Antics تتمتع بمستوى عالٍ من التعقيد، مما يسمح لها بتوفير الوصول إلى حسابات البريد الإلكتروني للضحايا لفترات طويلة دون أن يتم اكتشافها.

هذا ممكن لأن الاتصالات الشبكية للبرمجيات الخبيثة تتم فقط مع خدمات شرعية. علاوة على ذلك، حيث أنها ترسل رسائل البريد الإلكتروني الخاصة بالضحايا تلقائياً إلى المهاجم، فإنها لا تحتاج إلى خادم للتحكم في الأوامر (C2) لتلقي المهام.

"وجودها على القرص محدود، والبيانات مخزنة في مواقع سجل محددة لـ Outlook،" يقول خبراء NCSC في التحليل التقني.

نسبة الإسناد والعقوبات

لم يقم المركز الوطني للأمن السيبراني بإسناد برمجيات Authentic Antics، ولكن الوكالة أعلنت اليوم أنها وجدت أدلة تربط البرمجيات الخبيثة بمجموعة الدولة APT28، المعروفة أيضاً باسم Fancy Bear، Sednit، Sofacy، Pawn Storm، STRONTIUM، Tsar Team، وForest Blizzard.

"لقد كشفت الحكومة اليوم (18 يوليو) عن عملاء الاستخبارات العسكرية الروسية الذين يستخدمون برامج ضارة غير معروفة سابقاً لتمكين التجسس ضد حسابات البريد الإلكتروني المستهدفة، في خطوة ستجعل المملكة المتحدة وحلفائها أكثر أماناً،" يقول المركز الوطني للأمن السيبراني في المملكة المتحدة.

"لقد كشف المركز الوطني للأمن السيبراني - جزء من GCHQ - لأول مرة أن مجموعة التهديد السيبراني APT 28 هي المسؤولة عن نشر برمجيات خبيثة متطورة تُعرف باسم AUTHENTIC ANTICS كجزء من عملياتها."

هذا الإسناد أدى أيضاً إلى فرض الحكومة البريطانية عقوبات على ثلاث وحدات من GRU (26165، 29155، و74455) و18 فرداً روسياً متورطين في هذه الحملات وغيرها من الحملات ذات الصلة.

أدان المسؤولون البريطانيون عملاء GRU لقيامهم بعمليات هجينة تهدف إلى زعزعة استقرار أوروبا وتعريض المواطنين البريطانيين للخطر، كما أشاروا إلى أن نشر Authentic Antics يعكس زيادة التعقيد في خدمة الاستخبارات الروسية.

في الوقت نفسه، أكدوا التزام NCSC بكشف هذه الأنشطة السيبرانية وفرض العقوبات على الأطراف المسؤولة.

لقد تم استخدام Authentic Antics في هجمات منذ...

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##Microsoft365 ##APT28 ##GRU

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!