قال باحثون من شركة Proofpoint الأمنية إن الجهات الفاعلة في مجال التهديد المتحالفة مع روسيا وبيلاروسيا تستهدف المسؤولين الأمريكيين المنتخبين الذين يدعمون أوكرانيا ، وذلك باستخدام الهجمات التي تحاول اختراق حسابات البريد الإلكتروني الخاصة بهم.
قال تقرير Proofpoint نُشر يوم الخميس إن الحملة ، التي تستهدف أيضًا المسؤولين في الدول الأوروبية ، تستخدم JavaScript خبيثًا مخصصًا لبوابات بريد الويب الفردية التي تنتمي إلى العديد من المنظمات المتحالفة مع الناتو. يستخدم ممثل التهديد – الذي تتبعه Proofpoint منذ عام 2021 تحت اسم TA473 – استطلاعًا وبحثًا مضنيًا لضمان أن البرامج النصية تسرق أسماء المستخدمين وكلمات المرور وبيانات اعتماد تسجيل الدخول الحساسة الأخرى كما هو مقصود في كل بوابة بريد ويب مكشوفة بشكل عام يتم استهدافها.
استهداف صارم
كتب مايكل راجي ، الباحث في مجال التهديد في Proofpoint ، في رسالة بالبريد الإلكتروني: “كان هذا الممثل عنيدًا في استهدافه للمسؤولين الأمريكيين والأوروبيين وكذلك الأفراد العسكريين والدبلوماسيين في أوروبا”. منذ أواخر عام 2022 ، استثمر TA473 وقتًا طويلاً في دراسة بوابات بريد الويب الخاصة بالكيانات الحكومية الأوروبية ومسح البنية التحتية التي تواجه الجمهور بحثًا عن نقاط الضعف ، كل ذلك في محاولة للوصول في النهاية إلى رسائل البريد الإلكتروني الخاصة بالمشاركين عن كثب في الشؤون الحكومية والحرب الروسية الأوكرانية . “
وامتنع راجي عن تحديد الأهداف باستثناء القول إنها شملت مسؤولين أمريكيين منتخبين وموظفين على مستوى الحكومة الفيدرالية بالإضافة إلى كيانات أوروبية. وأضاف: “في عدة حالات بين الكيانات المستهدفة في الولايات المتحدة وأوروبا ، يكون الأفراد المستهدفون من خلال حملات التصيد الاحتيالي هذه مؤيدين صريحين لأوكرانيا في الحرب الروسية / الأوكرانية و / أو يشاركون في مبادرات تتعلق بدعم أوكرانيا على المسرح الدولي” . .
استغلت معظم الهجمات الأخيرة التي لاحظتها Proofpoint ثغرة أمنية في الإصدارات القديمة من Zimbra Collaboration ، وهي حزمة برامج تُستخدم لاستضافة بوابات بريد الويب. تم تتبع الثغرة الأمنية باعتبارها CVE-2022-27926 وتم تصحيحها في مارس الماضي ، وهي عيب في البرمجة النصية عبر المواقع يجعل من الممكن للمهاجمين غير المصادق عليهم تنفيذ نصوص ويب ضارة على الخوادم عن طريق إرسال طلبات معدة خصيصًا. الهجمات تعمل فقط ضد خوادم Zimbra التي لم تقم بعد بتثبيت التصحيح.
تبدأ الحملة باستخدام أدوات المسح مثل Acunetix لتحديد البوابات غير المصححة التي تنتمي إلى مجموعات ذات اهتمام. يقوم أعضاء TA473 بعد ذلك بتسليم رسائل البريد الإلكتروني المخادعة التي تزعم أنها تحتوي على معلومات تهم المستلمين.
نقطة إثبات
اكتشاف المزيد من عرب نيوز للتقنية
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
