الأمن السيبراني NTLM, الأعمى, القائمة, الكولومبية, المؤسسات, النسر, باستخدام, جيثب, على, عيب, والفئران, والهجمات, يعبر eshrag مارس 11, 2025 0 تعليقات

يعبّر النسر الأعمى المؤسسات الكولومبية باستخدام عيب NTLM والفئران والهجمات القائمة على جيثب

ممثل التهديد المعروف باسم نسر أعمى تم ربطه بسلسلة من الحملات المستمرة التي تستهدف المؤسسات الكولومبية والكيانات الحكومية منذ نوفمبر 2024.

“استهدفت الحملات التي تمت مراقبتها المؤسسات القضائية الكولومبية وغيرها من المنظمات الحكومية أو الخاصة ، مع ارتفاع معدلات العدوى” ، قال في تحليل جديد.

“تأثر أكثر من 1600 ضحية خلال إحدى هذه الحملات التي وقعت في حوالي 19 ديسمبر 2024. معدل العدوى هذا مهم بالنظر إلى نهج النسر المستهدف.”

يتم تتبع Blind Eagle ، النشط منذ عام 2018 على الأقل ، باسم Aguilaciega و APT-C-36 و APT-Q-98. تشتهر باستهدافها المفرط للكيانات في أمريكا الجنوبية ، وخاصة كولومبيا وإكوادور.

تستلزم سلاسل الهجوم التي تنشرها ممثل التهديد استخدام تكتيكات الهندسة الاجتماعية ، وغالبًا ما تكون في شكل رسائل بريد إلكتروني صيد الرمح ، للوصول الأولي إلى الأنظمة المستهدفة وإسقاط أحصنة طروادة للوصول عن بُعد في نهاية المطاف مثل Asyncrat و NJRAT و Quasar RAT و REMCOS.

أحدث مجموعة من التدخلات ملحوظة لثلاثة أسباب: استخدام متغير لاستغلال لخلي Microsoft Windows الذي تم الآن مشهوده الآن (CVE-2024-43451) ، واعتماد عبوات ناشئة وخدمة خارجة عن قطراتها (PAAS) تسمى HeartCrypt ، وتوزيع الأحمال عبر Bitbucket و Github ، وتتجاوز قطرتها.

على وجه التحديد ، يتم استخدام HeartCrypt لحماية القابلة للتنفيذ الضارة ، وهو متغير من purecrypter المسؤول عن إطلاق البرامج الضارة Remcos RAT المستضافة على مستودع Bitbucket أو Github الذي تم تمريره الآن.

يشير CVE-2024-43451 إلى ثغرة الكشف عن تجزئة NTLMV2 التي تم إصلاحها من قبل Microsoft في نوفمبر 2024. Blind Eagle ، لكل نقطة فحص ، قام بدمج متغير من هذا الاستغلال في Arsenal الهجوم على بعد ستة أيام من إطلاقها للتصحيح للتصحيح.

وقالت شركة الأمن السيبراني: “على الرغم من أن هذا البديل لا يعرض بالفعل تجزئة NTLMV2 ، إلا أنه يخطر الجهات الفاعلة للتهديد بأن الملف تم تنزيله من خلال نفس تفاعلات ملفات المستخدم غير العادية”.

“على الأجهزة المعرضة لـ CVE-2024-43451 ، يتم تشغيل طلب WebDAV حتى قبل أن يتفاعل المستخدم يدويًا مع الملف مع نفس السلوك غير المعتاد. في الوقت نفسه ، على كل من أنظمة مرققة وغير مصححة ، ينقر يدويًا على الملف الخبيث.

أشارت Check Point إلى أن “الاستجابة السريعة” تعمل على تسليط الضوء على الخبرة الفنية للمجموعة وقدرتها على تكييف ومتابعة أساليب الهجوم الجديدة في مواجهة الدفاعات الأمنية المتطورة.

العمل كمسدس تدخين من أجل أصول ممثل التهديد هو مستودع GitHub ، الذي كشف أن ممثل التهديد يعمل في المنطقة الزمنية UTC-5 ، ويتوافق مع العديد من دول أمريكا الجنوبية.

هذا ليس كل شيء. في ما يبدو أنه خطأ تشغيلي ، اكتشف تحليل لتاريخ التزام المستودع ملفًا يحتوي على أزواج من كلمات حساب الحساب مع 1،634 عناوين بريد إلكتروني فريدة.

بينما تم حذف ملف HTML ، الذي تم تسميته “Ver Datos del formulario.html” ، من المستودع في 25 فبراير 2025 ، فقد وجد أنه يحتوي على تفاصيل مثل أسماء المستخدمين وكلمات المرور والبريد الإلكتروني وكلمات مرور البريد الإلكتروني ودبابيس الصراف الآلي المرتبطة بالأفراد والوكالات الحكومية والمؤسسات التعليمية ، والأعمال التي تعمل في الكولومبيا.

وقالت Check Point: “أحد العوامل الرئيسية في نجاحها هو قدرتها على استغلال منصات مشاركة الملفات المشروعة ، بما في ذلك Google Drive و Dropbox و Bitbucket و Github ، مما يسمح لها بتجاوز التدابير الأمنية التقليدية وتوزيع البرامج الضارة على خلل”.

“بالإضافة إلى ذلك ، يعزز استخدامها لأدوات الجريمة تحت الأرض مثل Remcos Rat و HeartCrypt و Purecrypter علاقاتها العميقة بالنظام الإيكولوجي للمجريم الإلكترونية ، مما يمنح الوصول إلى تقنيات التهرب المتطورة وطرق الوصول المستمرة.”

وجدت هذه المقالة مثيرة للاهتمام؟ تابعنا تغريد و LinkedIn لقراءة المزيد من المحتوى الحصري الذي ننشره.

Source link