استخدمت جهات التهديد المرتبطة بروسيا كلاً من PysOps و التصيد الإلكتروني المخصص لاستهداف المستخدمين على مدار عدة أشهر في نهاية عام 2023 في حملة متعددة الموجات تهدف إلى نشر معلومات مضللة في أوكرانيا وسرقة بيانات اعتماد Microsoft 365 عبر أوروبا.
واكتشف باحثون من شركة ESET أن العملية – التي أطلق عليها اسم عملية Texonto – جاءت على موجتين متميزتين، الأولى في أكتوبر-نوفمبر 2023 والثانية في نوفمبر-ديسمبر 2023. وكشفوا أن الحملة استخدمت مجموعة متنوعة من تكتيكات pysop ورسائل البريد العشوائي كطريقة التوزيع الرئيسية في بلوق وظيفة تم نشره في 22 فبراير.
من الناحية التاريخية، كانت الحملة الأولى عبارة عن هجوم تصيد استهدف شركة دفاع أوكرانية في أكتوبر/تشرين الأول 2023 ووكالة تابعة للاتحاد الأوروبي في نوفمبر/تشرين الثاني 2023. وكانت الحملة الثانية عبارة عن حملة تضليل ركزت بشكل أساسي على أهداف أوكرانية باستخدام موضوعات تتعلق بانقطاع التدفئة، ونقص الأدوية، والمشاكل الصحية. وقال الباحثون إن نقص الغذاء «موضوع نموذجي للحملة الدعائية الروسية».
على الرغم من أن لديهما أهدافًا مختلفة، إلا أن كلاهما يستخدم بنية تحتية مماثلة للشبكة، وهذه هي الطريقة التي ربطت بها ESET الاثنين. بعد ذلك، وفي تطور بسيط في الحبكة، كان عنوان URL المرتبط بعملية Texonto هو إرسال بريد عشوائي نموذجي للصيدليات الكندية في حملة منفصلة حدثت في يناير.
الحرب الهجينة بين روسيا وأوكرانيا
تم استخدام حملات التهديد من قبل جهات التهديد المتحالفة مع روسيا مثل الديدان الرملية و جاماريدون in حرب إلكترونية مع أوكرانيا هذا تشغيل بشكل متزامن مع العملية الأرضية لمدة عامين، وفقًا لشركة ESET. الدودة الرملية بشكل خاص المساحات المستخدمة إلى تعطيل البنية التحتية لتكنولوجيا المعلومات في أوكرانيا في وقت مبكر من الحرب، في حين قامت شركة Gamaredon مؤخرًا بتكثيف عمليات التجسس الإلكتروني.
وكتب الباحثون في المنشور: "تُظهر عملية Texonto استخدامًا آخر للتكنولوجيات لمحاولة التأثير على الحرب"، على الرغم من أنهم لم ينسبوا العملية إلى جهة فاعلة محددة. "لقد عثرنا على عدد قليل من صفحات تسجيل الدخول المزيفة النموذجية لشركة Microsoft، ولكن الأهم من ذلك هو أنه كانت هناك موجتان من عملاء pysop عبر رسائل البريد الإلكتروني ربما لمحاولة التأثير على المواطنين الأوكرانيين وجعلهم يعتقدون أن روسيا ستفوز".
توضح عملية Texonto أيضًا انحرافات ملحوظة أخرى عن النشاط الضار النموذجي، كما يشير ماتيو فاو، باحث ESET الذي يقود التحقيق، في رسالة بريد إلكتروني إلى Dark Reading.
ويشير إلى أن "الأمر المثير للاهتمام في قضية عملية Texonto هو أن جهة التهديد نفسها منخرطة في كل من المعلومات المضللة وفي حملات التصيد الاحتيالي، في حين أن معظم الجهات الفاعلة في مجال التهديد تقوم بواحدة أو أخرى". "على هذا النحو، فمن الواضح أن هذا هو برنامج تجسس مخطط له وليس مجرد شخص ينشر معلومات مضللة على الإنترنت."
وأشار الباحثون إلى أن الحملة تظهر أيضًا الابتعاد عن استخدام القنوات الشائعة مثل Telegram أو مواقع الويب المزيفة لنقل الرسائل الضارة.
موجتان متميزتان
جاءت العلامة الأولى للعملية في أكتوبر عندما تلقى موظفون يعملون في إحدى شركات الدفاع الأوكرانية الكبرى رسالة البريد التصيد الاحتيالي يزعم أنه من قسم تكنولوجيا المعلومات. حذرت الرسالة من احتمال إزالة صندوق البريد الخاص بهم وأنه لتسجيل الدخول، يجب عليهم النقر فوق رابط لإصدار الويب من صندوق البريد وتسجيل الدخول باستخدام بيانات الاعتماد الخاصة بهم.
يؤدي الرابط بدلاً من ذلك إلى صفحة تصيد احتيالي، والتي توقع باحثو ESET من مجال آخر ينتمي إلى العملية المقدمة إلى VirusTotal أنها كانت صفحة تسجيل دخول مزيفة لـ Microsoft لسرقة بيانات اعتماد Microsoft 365، على الرغم من أنهم لم يتمكنوا من استرداد صفحة التصيد الاحتيالي نفسها.
كانت الموجة التالية من الحملة هي أول عملية pysops التي تم إرسالها التضليل رسائل البريد الإلكتروني مع مرفق PDF إلى ما لا يقل عن بضع مئات من الأشخاص الذين يعملون في الحكومة الأوكرانية وشركات الطاقة، فضلا عن المواطنين الأفراد.
ومع ذلك، على عكس حملة التصيد الموصوفة سابقًا، يبدو أن الهدف من رسائل البريد الإلكتروني هذه هو مجرد معلومات مضللة لزرع الشك في أذهان الأوكرانيين، بدلاً من نشر روابط ضارة.
أبلغت رسائل البريد الإلكتروني في الحملة المتلقين بالنقص المحتمل في الغذاء والتدفئة والأدوية، وذهب أحدهم إلى حد اقتراح أنهم يأكلون "ريسوتو الحمام" وحتى تقديم صور حمامة حية وحمامة مطبوخة "تظهر أن تلك الوثائق تم إنشاؤها عمدا". وأشار الباحثون إلى أنه من أجل إثارة القراء.
وكتبوا: "بشكل عام، تتوافق الرسائل مع موضوعات الدعاية الروسية المشتركة". "إنهم يحاولون جعل الشعب الأوكراني يعتقد أنه لن يحصل على الأدوية والغذاء والتدفئة بسبب الحرب الروسية الأوكرانية."
المرحلة الثانية من موجة بيسوبس حدثت في ديسمبر/كانون الأول وامتدت إلى دول أوروبية أخرى، مع مجموعة عشوائية من بضع مئات من الأهداف تتراوح بين الحكومة الأوكرانية وشركة تصنيع أحذية إيطالية، ولكنها لا تزال مكتوبة باللغة الأوكرانية. اكتشف الباحثون نموذجين مختلفين للبريد الإلكتروني في الحملة أرسلا تحيات العيد الساخرة إلى الأوكرانيين في محاولة أخرى للاستخفاف بهم وتثبيطهم.
المجالات الضارة وتكتيكات الدفاع
قام الباحثون بشكل أساسي بتتبع النطاقات لمواكبة مجرمي الإنترنت المشاركين في عملية Texonto، مما قادهم إلى بعض المسارات المثيرة للاهتمام. أحدهما كان على ما يبدو غير ذي صلة بحملة بريد عشوائي للصيدليات الكندية ولكنها نموذجية استخدمت خادم بريد إلكتروني يديره المهاجمون، وهي "فئة من الأعمال غير القانونية [التي] حظيت بشعبية كبيرة داخل مجتمع الجرائم الإلكترونية الروسي"، على حد قولهم.
عكست أسماء النطاقات الأخرى المرتبطة بالحملة الأحداث الجارية الأخيرة مثل وفاة أليكسي نافالني، زعيم المعارضة الروسية المعروف الذي توفي في 16 فبراير/شباط في السجن. إن وجود هذه النطاقات - بما في ذلك Navalny-votes[.]net، وnavalny-votesmart[.]net، وnavalny-votes[.]net - "يعني أن عملية Texonto ربما تتضمن عمليات تصيد احتيالي أو معلومات تستهدف المنشقين الروس". كتب الباحثون.
قامت شركة ESET بتضمين مجموعة من مؤشرات التسوية (IOCs)، بما في ذلك المجالات وعناوين البريد الإلكتروني وتقنيات MITRE ATT&CK في تقريرها. ويوصي الباحثون أيضًا بأن تعمل المنظمات بقوة المصادقة الثنائية - مثل تطبيق مصادقة الهاتف أو المفتاح الفعلي - للدفاع ضد هجمات التصيد الاحتيالي التي تستهدف Office 365، كما يقول فاو.
وفيما يتعلق بالدفاع ضد محاولات الجهات الفاعلة الخبيثة لنشر معلومات مضللة عبر الإنترنت، يضيف: "إن أفضل حماية هي استخدام عقليتنا الانتقادية وعدم الثقة في أي معلومات على الإنترنت".
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/remote-workforce/russian-cyberattackers-launch-multi-phase-psyops-campaign
- :لديها
- :يكون
- :ليس
- $ UP
- 16
- 2023
- 22
- 7
- a
- ماهرون
- وفقا
- في
- نشاط
- الجهات الفاعلة
- عناوين
- يضيف
- ضد
- وكالة
- تهدف
- وتهدف
- محاذاة
- أيضا
- an
- و
- آخر
- أي وقت
- التطبيق
- ظهر
- هي
- مجموعة
- AS
- أسوشيتد
- At
- مهاجمة
- الهجمات
- محاولات
- بعيدا
- BE
- لان
- كان
- اعتقد
- انتماء
- أفضل
- قطعة
- المدونة
- على حد سواء
- الأعمال
- لكن
- by
- أتى
- الحملات
- الحملات
- الكندية
- حقيبة
- الفئة
- قنوات
- المواطنين
- واضح
- انقر
- مشترك
- مجتمع
- الشركات
- حول الشركة
- حل وسط
- مطبوخ
- دولة
- خلق
- أوراق اعتماد
- حرج
- حالياًّ
- الانترنت
- جرائم الإنترنت
- مجرمو الإنترنت
- غامق
- قراءة مظلمة
- الموت
- ديسمبر
- الدفاع
- الدفاع
- يوضح
- القسم
- وصف
- فعل
- توفي
- مختلف
- اكتشف
- التضليل
- التفاوت
- خامد
- توزيع
- عدة
- do
- وثائق
- نطاق
- أسماء المجال
- المجالات
- الشك
- إلى أسفل
- عقار
- المخدرات
- يطلق عليها اسم
- في وقت مبكر
- أكل
- جهد
- البريد الإلكتروني
- رسائل البريد الإلكتروني
- يعمل
- الموظفين
- تمكين
- النهاية
- طاقة
- مخطوب
- تجسس
- EU
- أوروبا
- المجلة الأوروبية
- الدول الأوروبية
- حتى
- أحداث
- وجود
- موسع
- زائف
- بعيدا
- فبراير
- قليل
- الاسم الأول
- ركز
- طعام
- في حالة
- وجدت
- تبدأ من
- هدف
- الذهاب
- حكومة
- تحيات
- أرض
- كان
- يملك
- he
- عطلات
- كيفية
- لكن
- HTTPS
- قنطار
- مهجنة
- غير شرعي
- الأهم
- in
- شامل
- يشمل
- بما فيه
- من مؤشرات
- فرد
- تأثير
- معلومات
- وأبلغ
- البنية التحتية
- بدلًا من ذلك
- وكتابة مواضيع مثيرة للاهتمام
- Internet
- تحقيق
- المشاركة
- IT
- الإيطالي
- انها
- نفسها
- يناير
- م
- احتفظ
- القفل
- إطلاق
- قيادة
- زعيم
- يؤدي
- الأقل
- ليد
- LINK
- مرتبط
- وصلات
- الذين يعيشون
- سجل
- تسجيل الدخول
- الرئيسية
- في الأساس
- رائد
- جعل
- خبيث
- الشركة المصنعة
- مايو..
- يعني
- الرسالة
- رسائل
- طريقة
- مایکروسافت
- مانع
- عقلية
- معلومات خاطئة
- المقبلة.
- الأكثر من ذلك
- أكثر
- خطوة
- يجب
- أسماء
- شبكة
- التالي
- جدير بالذكر
- لا سيما
- وأشار
- ملاحظة
- نوفمبر
- يلاحظ
- حدث
- شهر اكتوبر
- of
- Office
- on
- ONE
- online
- تعمل
- عملية
- عمليات
- معارضة
- or
- طلب
- المنظمات
- أخرى
- لنا
- على مدى
- الكلي
- صفحة
- صفحات
- مسارات
- مجتمع
- مرحلة جديدة
- التصيد
- حملة التصيد
- للهواتف
- الصور
- مادي
- مخطط
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- مؤامرة
- الرائج
- منشور
- محتمل
- سابقا
- السجن
- المحتمل
- دعاية
- الحماية
- توفير
- بحت
- عشوائية
- نطاق
- تتراوح
- بدلا
- القراء
- نادي القراءة
- تلقى
- الأخيرة
- مؤخرا
- المستفيدين
- نوصي
- عكست
- ذات صلة
- إزالة
- تقرير
- الباحث
- الباحثين
- أظهرت
- روسيا
- حرب روسيا وأوكرانيا
- الروسية
- s
- قال
- نفسه
- يقول
- الثاني
- على ما يبدو
- إرسال
- أرسلت
- مستقل
- الخادم
- عدة
- نقص
- يظهر
- إشارة
- مماثل
- So
- حتى الآن
- بعض
- شخص ما
- زرع
- البريد المزعج
- محدد
- المدعومة
- انتشار
- الانتشار
- لا يزال
- قوي
- المقدمة
- هذه
- اقترح
- التكتيكات
- الهدف
- المستهدفة
- استهداف
- الأهداف
- تقنيات
- التكنولوجيا
- تیلیجرام
- النماذج
- من
- أن
- •
- من مشاركة
- منهم
- المواضيع
- then
- هناك.
- تشبه
- هم
- هؤلاء
- على الرغم من؟
- التهديد
- الجهات التهديد
- إلى
- المواضيع
- الثقة
- محاولة
- يحاول
- تحريف
- اثنان
- نموذجي
- أوكرانيا
- الأوكرانية
- الأوكرانيين
- URL
- تستخدم
- مستعمل
- المستخدمين
- استخدام
- الإصدار
- جدا
- بواسطة
- حرب
- حذر
- وكان
- موجة
- أمواج
- we
- الويب
- المواقع
- حسن
- معروف
- كان
- وارين
- ابحث عن
- ما هي تفاصيل
- متى
- التي
- في حين
- من الذى
- سوف
- كسب
- مع
- في غضون
- وون
- عامل
- مكتوب
- كتب
- حتى الآن
- زفيرنت