phonandroid

اكتشف ثلاثة خبراء للأمن السيبراني عملية اختراق كبيرة تستهدف السفارات الدبلوماسية. تتظاهر مجموعة من المتسللين الروس بأنهم موظفون في هذه السفارات لدفع ضحاياهم لتنزيل المرفق الضار في بريدهم الإلكتروني. بمجرد الانتهاء من ذلك ، تصيب البرامج الضارة للكمبيوتر الشخصي واستعادة عدد كبير من البيانات السرية.

في السنوات الأخيرة ، تم الحديث عن مشهد القراصنة الروسي بشكل كبير. اليوم ، يعد المتسللون من البلاد من بين أخطر العالم ، وليس التردد في معالجة الهيئات الحكومية من خلال الهجمات التي لها فوائد مثيرة في بعض الأحيان. منذ بداية الحرب في أوكرانيا ، أظهر الأخير ما يمكنهمعن طريق اختراق محطات الطاقةأومن خلال السيطرة على حسابات الفيسبوك العسكرية.

اليوم ، تم اكتشاف عملية جديدة من قبل ثلاثة خبراء للأمن السيبراني من المجتمع Mandiant. مجموعة المتسللين التي تسمى في الأصل APT29 ، ولديها خصوصية الاستفادة من الدعم غير الرسمي للحكومة الروسية. بمعنى آخر ، يتم اختيار هذه الأهداف وفقًا للمصالح السياسية لروسيا. هذا هو السبب في أن APT29 يهاجم الآن السفارات.

حملة التصيد الروسية تستهدف السفارات والدبلوماسيين

يعود تاريخ أول آثار الهجوم إلى يناير 2022. يدعي مانديان أن العملية حدثت على الأقل حتى مارس من هذا العام من خلال عدة موجات متتالية. بادئ ذي بدء ، احتكر القراصنة عناوين البريد الإلكتروني المعروضة على مواقع السفارات الرسمية. وبهذه الطريقة ، حرصوا على عدم إثارة الشكوك مع ضحاياهم.

بمجرد الانتهاء من ذلك ، استهدفوا دبلوماسيين وموظفين آخرين ، وأرسلوا إليهم بريدًا إلكترونيًا ، ويدعون إلى تغيير في اللوائح الداخلية ، من أجل إثارة انتباههم. يحتوي البريد الإلكتروني المعني على مرفق يمكن أن يكون صورة أو ملف ISO. في الواقع ، يحتوي الملف على ملف حبر ، وهذا يعني اختصار Windows ، تم تمويههم باستخدام امتداد ورمز كاذب.

عند فتح ملف الحبر ، يقوم بتشغيل ملف DLL ضار. بدوره ، يقوم ملف DLL بتشغيل التنزيل المزدهر باستخدام تطبيق BeatDrop ، وهو برنامج ضار يتم تشغيله مباشرة في ذاكرة الكمبيوتر والذي يتصل بأداة Trello عبر الإنترنت ، شائعة جدًا داخل الشركات. مرة أخرى ، يسمح استخدام هذه الأداة للمتسللين بالابتعاد دون أن يلاحظها أحد. ما هو أكثر من ذلك ، يتيح لهم هذا استرداد عناوين البريد الإلكتروني الأخرى لموظفي الدبلوماسيين المستهدفين.

تتسلل السفارات إلى شبكتها وسرقة بياناتها السرية

عند إطلاق Boomic ، فإنه يؤدي مهام مختلفة تتراوح من استرداد مدخلات لوحة المفاتيح ، وتسجيل لقطات الشاشة ، وتثبيت خادم الوكيل ، ولكن أيضًا أشياء أكثر خطورة مثل ترشيح معرفات الحساب أو حتى تحليل المنافذ. أخيرًا ، يمكن للبرامج الضارة تعديل سجل Windows لتنزيل رموز وتطبيقات البرامج الضارة الأخرى.

على نفس الموضوع -رانسومواري: القراصنة الروس جيبهم 74 ٪ من الفدية في عام 2021

في أقل من 12 ساعة ، تمكن قراصنة APT29 من الحصول على أعلى رتبة من الامتيازات داخل شبكة السفارات ، مما يمنحهم ، من بين أشياء أخرى ، ترخيص كتابة الملفات التي تحتوي على تذاكر Kerberos. لذلك ، يمكنهم مسح الشبكة بأكملها بحثًا عن الضحايا الآخرين وعناوين البريد الإلكتروني لمن يرسل Boomic.

"لقد جعل تحليل realternity.dll من الممكن تحديد أنه قطرة ذاكرة وحدها مكتوبة بلغة GO التي تدلل وتنفيذ منارة حمولة متكاملة. تم تحديد منارة الحمولة النافعة على أنها منارة SMB التي تتواصل من خلال الأنابيب المسماة لـ shareReality.dll "قال مانديان في بيانه الصحفي.