عادت جهة التهديد المعروفة باستهداف المؤسسات في أوكرانيا بشكل متكرر باستخدام أداة المراقبة والتحكم عن بعد RemcosRAT مرة أخرى، وهذه المرة بتكتيك جديد لنقل البيانات دون تشغيل أنظمة الكشف عن نقاط النهاية والاستجابة لها.
ويركز العدو، الذي يحمل اسم UNC-0050، على الكيانات الحكومية الأوكرانية في حملته الأخيرة. وقال الباحثون في Uptycs الذين اكتشفوا هذه الهجمات إن الهجمات قد تكون ذات دوافع سياسية، بهدف جمع معلومات استخباراتية محددة من الوكالات الحكومية الأوكرانية. "على الرغم من أن احتمال رعاية الدولة لا يزال موضع تكهنات، فإن أنشطة المجموعة تشكل خطرًا لا يمكن إنكاره، خاصة بالنسبة للقطاعات الحكومية التي تعتمد على أنظمة Windows،" هذا ما قاله الباحثان في Uptycs، كارثيكومار كاثيريسان وشيلبيش تريفيدي. كتب في تقرير هذا الاسبوع.
التهديد RemcosRAT
وقد استخدمت الجهات الفاعلة التهديد ريمكوسرات - التي بدأت حياتها كأداة شرعية للإدارة عن بعد - للتحكم في الأنظمة المخترقة منذ عام 2016 على الأقل. ومن بين أمور أخرى، تسمح الأداة للمهاجمين بجمع وتصفية معلومات النظام والمستخدم والمعالج. يمكن تجنب العديد من أدوات مكافحة الفيروسات وأدوات الكشف عن تهديدات نقاط النهاية وتنفيذ مجموعة متنوعة من أوامر الباب الخلفي. في كثير من الحالات، قامت الجهات الفاعلة في مجال التهديد بتوزيع البرامج الضارة في مرفقات في رسائل البريد الإلكتروني التصيدية.
لم تتمكن Uptycs من تحديد ناقل الهجوم الأولي في الحملة الأخيرة حتى الآن، لكنها قالت إنها تميل نحو رسائل التصيد الاحتيالي ورسائل البريد الإلكتروني العشوائية ذات الطابع الوظيفي، حيث إنها على الأرجح طريقة توزيع البرامج الضارة. استند البائع الأمني في تقييماته إلى رسائل البريد الإلكتروني التي استعرضها والتي تزعم أنها تعرض على أفراد عسكريين أوكرانيين مستهدفين أدوارًا استشارية في قوات الدفاع الإسرائيلية.
وقالت Uptycs إن سلسلة العدوى نفسها تبدأ بملف lnk الذي يجمع معلومات حول النظام المخترق ثم يسترد تطبيق HTML المسمى 6.hta من خادم بعيد يتحكم فيه المهاجم باستخدام ثنائي أصلي لنظام Windows. يحتوي التطبيق الذي تم استرداده على برنامج PowerShell النصي الذي يبدأ الخطوات لتنزيل ملفين آخرين للحمولة (word_update.exe وofer.docx) من مجال يتحكم فيه المهاجم - وفي النهاية - لتثبيت RemcosRAT على النظام.
تكتيك نادر إلى حد ما
ما يجعل حملة UNC-0050 الجديدة مختلفة هو استخدام جهة التهديد لـ الاتصالات بين العمليات في Windows ميزة تسمى الأنابيب المجهولة لنقل البيانات على الأنظمة المخترقة. كما تصفها ميكروسوفت، فإن الأنبوب المجهول هو قناة اتصال أحادية الاتجاه لنقل البيانات بين عملية الأصل والعملية الفرعية. وقال كاثيريسان وتريفيدي إن UNC-0050 يستفيد من هذه الميزة لتوجيه البيانات سرًا دون تشغيل أي تنبيهات EDR أو تنبيهات مكافحة الفيروسات.
وأشار باحثو Uptycs إلى أن UNC-0050 ليس أول جهة تهديد تستخدم الأنابيب لتصفية البيانات المسروقة، لكن هذا التكتيك يظل نادرًا نسبيًا. وقالوا: "على الرغم من أنها ليست جديدة تمامًا، إلا أن هذه التقنية تمثل قفزة كبيرة في تطور استراتيجيات المجموعة".
وهذه ليست المرة الأولى التي يرصد فيها باحثون أمنيون UAC-0050 وهو يحاول توزيع RemcosRAT على أهداف في أوكرانيا. في مناسبات متعددة العام الماضي، حذر فريق الاستجابة لطوارئ الكمبيوتر (CERT-UA) في أوكرانيا من حملات يقوم بها ممثل التهديد لتوزيع حصان طروادة الذي يمكن الوصول إليه عن بعد على المنظمات في البلاد.
الأحدث كان الاستشارة بتاريخ 21 ديسمبر 2023، حول حملة تصيد جماعية تتضمن رسائل بريد إلكتروني تحتوي على مرفقات يُزعم أنها عقد مبرم مع Kyivstar، أحد أكبر مزودي خدمات الاتصالات في أوكرانيا. وفي وقت سابق من شهر ديسمبر، حذر فريق CERT-UA من حدوث مشكلة أخرى التوزيع الشامل RemcosRAT تتضمن هذه الحملة رسائل بريد إلكتروني تزعم أنها تتعلق بـ "المطالبات القضائية" و"الديون" التي تستهدف المنظمات والأفراد في أوكرانيا وبولندا. تحتوي رسائل البريد الإلكتروني على مرفق في شكل ملف أرشيف أو ملف RAR.
أصدر CERT-UA تنبيهات مماثلة في ثلاث مناسبات أخرى في العام الماضي، واحدة في نوفمبر، حيث كانت رسائل البريد الإلكتروني التي تحمل عنوان أمر استدعاء من المحكمة بمثابة وسيلة التسليم الأولية؛ وأخرى، في نوفمبر/تشرين الثاني أيضًا، تحتوي على رسائل بريد إلكتروني يُزعم أنها من جهاز الأمن الأوكراني؛ والأولى في فبراير 2023 حول حملة بريد إلكتروني جماعية تحتوي على مرفقات يبدو أنها مرتبطة بمحكمة محلية في كييف.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign
- :لديها
- :يكون
- :ليس
- 2016
- 2023
- 7
- a
- ماهرون
- من نحن
- الوصول
- أنشطة
- الجهات الفاعلة
- إدارة
- مميزات
- مرة أخرى
- وكالات
- التنبيهات
- مزعوم
- يسمح
- أيضا
- بالرغم ان
- من بين
- an
- و
- مجهول
- آخر
- الحماية من الفيروسات
- أي وقت
- التطبيق
- ظهر
- أرشيف
- AS
- تقييم
- أسوشيتد
- At
- مهاجمة
- الهجمات
- محاولة
- الى الخلف
- الباب الخلفي
- على أساس
- BE
- كان
- يجري
- ما بين
- لكن
- by
- تسمى
- الحملات
- الحملات
- CAN
- سلسلة
- قناة
- طفل
- مطالبات
- جمع
- مجال الاتصالات
- تسوية
- الكمبيوتر
- الاستشارات
- الواردة
- يحتوي
- عقد
- مراقبة
- البلد
- محكمة
- البيانات
- ديسمبر
- ديسمبر
- الدفاع
- التوصيل
- يصف
- كشف
- حدد
- مختلف
- نشر
- وزعت
- توزيع
- منطقة
- محكمة المقاطعة
- نطاق
- بإمكانك تحميله
- في وقت سابق
- البريد الإلكتروني
- رسائل البريد الإلكتروني
- حالة طوارئ
- نقطة النهاية
- تماما
- الكيانات
- خاصة
- تنفيذ
- بعيدا
- الميزات
- فبراير
- قم بتقديم
- ملفات
- الاسم الأول
- لأول مرة
- ركز
- في حالة
- القوات
- النموذج المرفق
- تبدأ من
- جمع
- هدف
- حكومة
- الوكالات الحكومية
- الجهات الحكومية
- تجمع
- يملك
- HTML
- HTTPS
- in
- الأفراد
- معلومات
- في البداية
- يبادر
- تثبيت
- رؤيتنا
- تنطوي
- إسرائيل
- نشر
- IT
- انها
- نفسها
- JPG
- قضائي
- م
- معروف
- أكبر
- اسم العائلة
- العام الماضي
- آخر
- قفز
- الأقل
- شرعي
- الحياة
- على الأرجح
- يصنع
- البرمجيات الخبيثة
- كثير
- كتلة
- مايو..
- طريقة
- مایکروسافت
- عسكر
- أكثر
- الدافع
- متعدد
- عين
- محلي
- جديد
- وأشار
- نوفمبر
- مناسبات
- of
- عرض
- on
- ONE
- or
- المنظمات
- أخرى
- فردي
- التصيد
- حملة التصيد
- أنبوب
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- بولندا
- سياسي
- تشكل
- إمكانية
- بوويرشيل
- عملية المعالجة
- المعالج
- مقدمي
- نادر
- الأخيرة
- نسبيا
- بقايا
- عن بعد
- الوصول عن بعد
- مرارا وتكرارا
- تقرير
- الباحثين
- استجابة
- استعرض
- المخاطرة
- الأدوار
- s
- قال
- سيناريو
- قطاعات
- أمن
- الخادم
- الخدمة
- خدمة
- هام
- مماثل
- منذ
- قليلا
- التكلف
- البريد المزعج
- محدد
- المضاربة
- رعاية
- بدأت
- الولايه او المحافظه
- خطوات
- مسروق
- استراتيجيات
- المراقبة
- نظام
- أنظمة
- مع الأخذ
- المستهدفة
- استهداف
- الأهداف
- فريق
- تقنية
- الاتصالات
- أن
- •
- then
- هم
- الأشياء
- التهديد
- الجهات التهديد
- ثلاثة
- الوقت
- إلى
- أداة
- أدوات
- نحو
- تحويل
- نقل
- اثار
- حصان طروادة
- اثنان
- أوكرانيا
- الأوكرانية
- في النهاية
- لا ينكر
- تستخدم
- مستخدم
- استخدام
- تشكيلة
- المثالية
- بائع
- حذر
- وكان
- التي
- في حين
- من الذى
- نوافذ
- مع
- بدون
- عام
- حتى الآن
- زفيرنت