استهداف المؤسسات الأوكرانية باستخدام البرامج الضارة HATVIBE وCHERRYSPY
حذر فريق الاستجابة لطوارئ الكمبيوتر في أوكرانيا (CERT-UA) من حملة تصيد احتيالي تستهدف مؤسسة بحث علمي في البلاد باستخدام برامج ضارة تُعرف باسم HATVIBE وCHERRYSPY.
وكالة المنسوب الهجوم على جهة تهديد تتتبعه تحت اسم UAC-0063، والذي لوحظ سابقًا أنه يستهدف كيانات حكومية مختلفة لجمع معلومات حساسة باستخدام برامج تسجيل المفاتيح والأبواب الخلفية.
يتميز الهجوم باستخدام حساب بريد إلكتروني مخترق يخص أحد موظفي المؤسسة لإرسال رسائل تصيد إلى “العشرات” من المستلمين الذين تحتوي على مرفق Microsoft Word (DOCX) ذي تنسيق كبير.
يؤدي فتح المستند وتمكين وحدات الماكرو إلى تنفيذ تطبيق HTML مشفر (HTA) يسمى HATVIBE، والذي يقوم بإعداد الثبات على المضيف باستخدام مهمة مجدولة ويمهد الطريق لباب خلفي من Python يحمل الاسم الرمزي CHERRYSPY، وهو قادر على تشغيل الأوامر الصادرة بواسطة خادم بعيد.
قال CERT-UA إنه اكتشف “حالات عديدة” من إصابات HATVIBE التي تستغل ثغرة أمنية معروفة في خادم ملفات HTTP (CVE-2024-23692، درجة CVSS: 9.8) للوصول الأولي.
ارتبط UAC-0063 بمجموعة دولة قومية مرتبطة بروسيا يطلق عليها اسم APT28 بثقة معتدلة. APT28، والتي يشار إليها أيضًا باسم BlueDelta، وFancy Bear، وForest Blizzard، وFROZENLAKE، وIron Twilight، وITG05، وPawn Storm، وSednit، وSofacy، وTA422، تابعة لوحدة الاستخبارات العسكرية الاستراتيجية الروسية، GRU.
يأتي التطوير تحت اسم CERT-UA مفصلة حملة تصيد أخرى تستهدف مؤسسات الدفاع الأوكرانية بملفات PDF مفخخة تتضمن رابطًا، عند النقر عليه، يقوم بتنزيل ملف قابل للتنفيذ (يُعرف أيضًا باسم GLUEEGG)، وهو المسؤول عن فك تشفير وتشغيل أداة التحميل المستندة إلى Lua والتي تسمى DROPCLUE.
تم تصميم DROPCLUE لفتح مستند خادع للضحية، أثناء تنزيل برنامج Remote Desktop شرعي يسمى Atera Agent بشكل سري باستخدام الأداة المساعدة Curl. تم ربط الهجوم بمجموعة تم تتبعها باسم UAC-0180.
إرسال التعليق