يقوم قراصنة الدولة الروس بتنفيذ حملات تصيد احتيالي مستهدفة في تسع دول على الأقل منتشرة عبر أربع قارات. تروج رسائل البريد الإلكتروني الخاصة بهم للأعمال الحكومية الرسمية، وإذا نجحت، فإنها لا تهدد البيانات التنظيمية الحساسة فحسب، بل تهدد أيضًا الاستخبارات الجيوسياسية ذات الأهمية الاستراتيجية.
مثل هذه المؤامرة المعقدة والمتعددة الجوانب لا يمكن تنفيذها إلا من قبل مجموعة غزيرة الإنتاج مثل الدب الهوى (ويعرف أيضًا باسم APT28، وForest Blizzard، وFrozenlake، وSofacy Group، وStrontium، وUAC-028، والعديد من الأسماء المستعارة الأخرى)، والتي يتتبعها IBM X-Force باسم ITG05 في تقرير جديد.
إلى جانب الإغراءات المقنعة ذات الطابع الحكومي وثلاثة أنواع جديدة من الأبواب الخلفية المخصصة، تبرز الحملة أكثر من غيرها من حيث المعلومات التي تستهدفها: يبدو أن Fancy Bear تهدف إلى الحصول على معلومات محددة للغاية لاستخدامها من قبل الحكومة الروسية.
إغراءات التصيد الحكومي
استخدمت Fancy Bear ما لا يقل عن 11 إغراءًا فريدًا في الحملات التي تستهدف المنظمات في الأرجنتين وأوكرانيا وجورجيا وبيلاروسيا وكازاخستان وبولندا وأرمينيا وأذربيجان والولايات المتحدة.
تبدو الإغراءات وكأنها وثائق رسمية مرتبطة بالحكومات الدولية، تغطي موضوعات واسعة مثل التمويل، والبنية التحتية الحيوية، والالتزامات التنفيذية، والأمن السيبراني، والأمن البحري، والرعاية الصحية، والإنتاج الصناعي الدفاعي.
بعض هذه الوثائق مشروعة ويمكن الوصول إليها بشكل عام. ومن المثير للاهتمام أن البعض الآخر يبدو أنه داخلي بالنسبة لوكالات حكومية محددة، مما يثير التساؤل حول كيفية سيطرة Fancy Bear عليهم في المقام الأول.
"ليس لدى X-Force نظرة ثاقبة حول ما إذا كان ITG05 قد نجح في اختراق المؤسسات المنتحلة"، تشير كلير زابويفا، صائدة التهديدات في IBM X-Force. "نظرًا لاحتمال قيام ITG05 بالاستفادة من الوصول غير المصرح به لجمع المستندات الداخلية، فقد قمنا بإخطار جميع الأطراف المقلدة بالنشاط قبل النشر كجزء من سياسة الإفصاح المسؤول لدينا."
وبدلاً من ذلك، ربما قام Fancy Bear/ITGO5 بتقليد ملفات حقيقية فقط. وقالت: "على سبيل المثال، تحتوي بعض الوثائق التي تم الكشف عنها على أخطاء ملحوظة مثل الأخطاء الإملائية في أسماء الأطراف الرئيسية فيما يبدو أنها عقود حكومية رسمية".
الدافع المحتمل؟
ميزة أخرى مهمة لهذه السحر هي أنها محددة تمامًا.
تتضمن أمثلة اللغة الإنجليزية ورقة سياسة الأمن السيبراني من منظمة غير حكومية جورجية، وخط سير رحلة يناير الذي يعرض تفاصيل اجتماع وتمرين Bell Buoy (XBB2024) لعام 24 للمشاركين في مجموعة عمل الشحن في المحيط الهادئ والمحيط الهندي (PACIOSWG) التابعة للبحرية الأمريكية.
وهناك الإغراءات المتعلقة بالتمويل: وثيقة بيلاروسية تحتوي على توصيات لخلق الظروف التجارية لتسهيل المشاريع المشتركة بين الدول بحلول عام 2025، بما يتماشى مع مبادرة الاتحاد الاقتصادي الأوراسي، ووثيقة سياسة الميزانية لوزارة الاقتصاد الأرجنتينية التي تقدم "مبادئ توجيهية استراتيجية" لمساعدة الدول الأعضاء في الاتحاد الأوروبي. الرئيس مع السياسة الاقتصادية الوطنية، وأكثر على هذا المنوال.
وقالت X-Force في تقريرها عن الحملة: "من المحتمل أن يكون جمع المعلومات الحساسة المتعلقة بمخاوف الميزانية والوضع الأمني للكيانات العالمية هدفًا ذا أولوية عالية نظرًا لمساحة مهمة ITG05 المحددة".
على سبيل المثال، رفضت الأرجنتين مؤخرًا دعوة للانضمام إلى المنظمة التجارية لمجموعة البريكس (البرازيل وروسيا والهند والصين وجنوب أفريقيا)، لذلك "من الممكن أن يسعى فريق التكنولوجيا المتكاملة (ITG05) إلى الوصول إلى المعلومات التي قد تعطي نظرة ثاقبة لأولويات الحكومة الأرجنتينية". "، قال اكس فورس.
نشاط ما بعد الاستغلال
إلى جانب التحديد ومظهر الشرعية، يستخدم المهاجمون خدعة نفسية أخرى للإيقاع بالضحايا: تقديمهم في البداية بنسخة غير واضحة من الوثيقة. كما هو الحال في الصورة أدناه، يمكن للمستلمين رؤية ما يكفي من التفاصيل للتأكد من أن هذه المستندات تبدو رسمية ومهمة، ولكن ليس بما يكفي لتجنب الاضطرار إلى النقر عليها.
عينة من وثيقة الإغراء؛ المصدر: آي بي إم
عندما يقوم الضحايا في المواقع التي يسيطر عليها المهاجمون بالنقر فوق لعرض مستندات الإغراء، يقومون بتنزيل باب خلفي من لغة بايثون يسمى "Masepie". تم اكتشافه لأول مرة في ديسمبر، وهو قادر على تثبيت الثبات على جهاز يعمل بنظام Windows، وتمكين تنزيل الملفات وتحميلها وتنفيذ الأوامر التعسفية.
أحد الملفات التي يقوم Masepie بتنزيلها على الأجهزة المصابة هو "Oceanmap"، وهي أداة تعتمد على C# لتنفيذ الأوامر عبر بروتوكول الوصول إلى الرسائل عبر الإنترنت (IMAP). يحتوي الإصدار الأصلي لـ Oceanmap - وليس المستخدم هنا - على وظيفة سرقة المعلومات والتي تم حذفها ونقلها منذ ذلك الحين إلى "Steelhook"، وهي الحمولة الأخرى التي تم تنزيلها بواسطة Masepie والمرتبطة بهذه الحملة.
Steelhook هو برنامج PowerShell النصي الذي تتمثل مهمته في استخراج البيانات من Google Chrome وMicrosoft Edge عبر خطاف الويب.
والأكثر بروزًا من برامجها الضارة هو سرعة العمل التي يتمتع بها برنامج Fancy Bear. مثل وصف لأول مرة بواسطة فريق الاستجابة لطوارئ الكمبيوتر في أوكرانيا (CERT-UA)، يصاب Fancy Bear بالساعة الأولى من الهبوط على جهاز الضحية، ويقوم بتنزيل الأبواب الخلفية وإجراء الاستطلاع والحركة الجانبية عبر تجزئات NTLMv2 المسروقة لهجمات الترحيل.
لذا، يحتاج الضحايا المحتملون إلى التصرف بسرعة، أو الأفضل من ذلك، الاستعداد مسبقًا للإصابة بالعدوى. ويمكنهم القيام بذلك عن طريق اتباع قائمة توصيات الغسيل الخاصة بشركة IBM: مراقبة رسائل البريد الإلكتروني التي تحتوي على عناوين URL التي يقدمها موفر استضافة Fancy Bear، FirstCloudIT، وحركة مرور IMAP المشبوهة إلى خوادم غير معروفة، ومعالجة نقاط الضعف المفضلة لديها - مثل CVE-2024-21413، وCVE-2024. -21410، CVE-2023-23397، CVE-2023-35636 - وأكثر من ذلك بكثير.
وخلص الباحثون إلى أن "ITG05 سيستمر في الاستفادة من الهجمات ضد حكومات العالم وأجهزتها السياسية لتزويد روسيا برؤية متقدمة حول قرارات السياسة الناشئة".
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/threat-intelligence/russian-intelligence-targets-victims-worldwide-in-rapid-fire-cyberattacks
- :لديها
- :يكون
- :ليس
- 11
- 2024
- 2025
- 7
- a
- الوصول
- بروتوكول الوصول
- يمكن الوصول
- في
- عمل
- اكشن
- نشاط
- معالجة
- تقدم
- متقدم
- أفريقيا
- ضد
- وكالات
- تهدف
- يعرف أيضا باسم
- انحياز
- الكل
- على طول
- أيضا
- an
- و
- تظهر
- يبدو
- التعسفي
- هي
- الأرجنتين
- الأرجنتين
- AS
- مساعدة
- أسوشيتد
- At
- الهجمات
- تحقيق
- تجنب
- أذربيجان
- الباب الخلفي
- خلفي
- BE
- دب
- كان
- روسيا البيضاء
- جرس
- أقل من
- أفضل
- البرازيل
- بريكس
- واسع
- ميزانية
- الأعمال
- لكن
- by
- تسمى
- الحملات
- الحملات
- CAN
- قادر على
- الصين
- الكروم
- انقر
- جمع
- مجموعة شتاء XNUMX
- تجاري
- تسوية
- الكمبيوتر
- اهتمامات
- وخلص
- الشروط
- إدارة
- القارات
- استمر
- عقود
- استطاع
- دولة
- تغطية
- خلق
- حرج
- بنية تحتية حرجة
- على
- هجمات الكترونية
- الأمن السيبراني
- البيانات
- ديسمبر
- القرارات
- الدفاع
- التفاصيل
- تفصيل
- إفشاء
- اكتشف
- do
- وثيقة
- وثائق
- هل
- بإمكانك تحميله
- تحميل
- التنزيلات
- اقتصادي
- السياسة الاقتصادية
- اقتصاد
- حافة
- رسائل البريد الإلكتروني
- حالة طوارئ
- تمكين
- التعاقدات
- كاف
- مشروع
- الكيانات
- أخطاء
- أنشئ
- تأسيس
- مثال
- أمثلة
- تنفيذي
- ممارسة
- تسهيل
- تصاميم راقية
- الميزات
- ملفات
- تمويل
- الاسم الأول
- متابعيك
- في حالة
- غابة
- أربعة
- تبدأ من
- وظيفة
- الجغرافية السياسية
- جورجيا
- الجورجية
- معطى
- العالمية
- شراء مراجعات جوجل
- جوجل كروم
- حصلت
- حكومة
- الوكالات الحكومية
- الحكومات
- تجمع
- المبادئ التوجيهية
- قراصنة
- كان
- العناية باليد
- يملك
- وجود
- الرعاية الصحية
- هنا
- جدا
- استضافة
- ساعة
- كيفية
- HTTPS
- صياد
- IBM
- if
- صورة
- أهمية
- أهمية
- in
- تتضمن
- الهند
- هندي
- صناعي
- الإنتاج الصناعي
- إصابة
- العدوى
- معلومات
- البنية التحتية
- في البداية
- مبادرة
- تبصر
- مثل
- رؤيتنا
- داخلي
- عالميا
- Internet
- إلى
- دعوة
- IT
- انها
- يناير
- وظيفة
- الانضمام
- م
- كازاخستان
- هبوط
- لغة
- الأقل
- شرعية
- شرعي
- الرافعة المالية
- الاستدانة
- مثل
- على الأرجح
- خطوط
- قائمة
- بحث
- يبدو مثل
- آلة
- الآلات
- جعل
- البرمجيات الخبيثة
- كثير
- بحري
- مايو..
- الاجتماع
- مجرد
- الرسالة
- مایکروسافت
- مايكروسوفت الحافة
- وزارة
- وزارة الاقتصاد
- الرسالة
- مراقبة
- الأكثر من ذلك
- أكثر
- دافع
- حركة
- كثيرا
- أسماء
- محليات
- حاجة
- جديد
- المنظمات غير الحكومية
- تسعة
- جدير بالذكر
- ملاحظة
- محيط
- of
- الوهب
- رسمي
- on
- ONE
- فقط
- or
- منظمة
- التنظيمية
- المنظمات
- أصلي
- أخرى
- أخرى
- لنا
- خارج
- سلمي
- ورق
- جزء
- المشاركون
- الأحزاب
- أداء
- إصرار
- التصيد
- المكان
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- مؤامرة
- بولندا
- سياسة
- سياسي
- ممكن
- محتمل
- بوويرشيل
- إعداد
- تقديم
- رئيس
- رئيسي
- قبل
- الإنتــاج
- غزير الإنتاج
- بروتوكول
- تزود
- مزود
- نفسي
- منشور
- علانية
- بايثون
- جودة
- سؤال
- بسرعة
- تماما
- رفع
- حقيقي
- مؤخرا
- المستفيدين
- ساندي خ. ميليك
- بخصوص
- مرفوض..
- تقرير
- الباحثين
- استجابة
- مسؤول
- روسيا
- الروسية
- s
- قال
- سيناريو
- أمن
- انظر تعريف
- تسعى
- حساس
- لمرضى
- خوادم
- هي
- الشحن
- منذ
- المواقع
- So
- بعض
- متطور
- مصدر
- جنوب
- جنوب أفريقيا
- الفضاء
- محدد
- النوعية
- انتشار
- المدرجات
- الولايه او المحافظه
- المحافظة
- لا يزال
- مسروق
- إستراتيجي
- ناجح
- بنجاح
- هذه
- مشكوك فيه
- الهدف
- المستهدفة
- استهداف
- الأهداف
- فريق
- من
- أن
- •
- المعلومات
- من مشاركة
- منهم
- المواضيع
- هناك.
- تشبه
- هم
- التهديد
- هدد
- ثلاثة
- إلى
- أداة
- المسارات
- تجارة
- حركة المرور
- نقل
- خدعة
- أوكرانيا
- غير مصرح
- كشف
- الاتحاد
- فريد من نوعه
- متحد
- الولايات المتحدة
- غير معروف
- تحميل
- us
- تستخدم
- مستعمل
- تستخدم
- متنوع
- الإصدار
- بواسطة
- ضحية
- ضحايا
- المزيد
- نقاط الضعف
- we
- ابحث عن
- سواء
- التي
- لمن
- سوف
- نوافذ
- مع
- عامل
- فريق العمل
- العالم
- في جميع أنحاء العالم
- حتى الآن
- التوزيعات للسهم الواحد
- زفيرنت