المنظمات الكازاخستانية المستهدفة بهجمات “الذئب الدامي” السيبرانية
المنظمات في كازاخستان هي هدف مجموعة أنشطة التهديد المدبلجة الذئب الدموي الذي يقدم برنامجًا ضارًا سلعيًا يسمى STRRAT (المعروف أيضًا باسم Strigoi Master).
“إن بيع البرنامج بمبلغ زهيد يصل إلى 80 دولارًا على الموارد السرية يسمح للخصوم بالسيطرة على أجهزة الكمبيوتر الخاصة بالشركة واختطاف البيانات المقيدة،” شركة BI.ZONE للأمن السيبراني. قال في تحليل جديد.
تستخدم الهجمات السيبرانية رسائل البريد الإلكتروني التصيدية كوسيلة وصول أولية، وانتحال صفة وزارة المالية في جمهورية كازاخستان ووكالات أخرى لخداع المستلمين لفتح مرفقات PDF.
يُزعم أن الملف عبارة عن إشعار بعدم الامتثال ويحتوي على روابط إلى ملف أرشيف Java ضار (JAR) بالإضافة إلى دليل تثبيت لمترجم Java الضروري لتشغيل البرامج الضارة.
وفي محاولة لإضفاء الشرعية على الهجوم، يشير الرابط الثاني إلى صفحة ويب مرتبطة بالموقع الإلكتروني لحكومة الدولة والتي تحث الزائرين على تثبيت Java لضمان تشغيل البوابة.
البرمجيات الخبيثة STRRAT، المستضافة على موقع ويب يحاكي الموقع الإلكتروني لحكومة كازاخستان (“egov-kz[.]عبر الإنترنت”)، يقوم بإعداد الثبات على مضيف Windows عن طريق تعديل السجل وتشغيل ملف JAR كل 30 دقيقة.
علاوة على ذلك، يتم نسخ نسخة من ملف JAR إلى مجلد بدء تشغيل Windows لضمان تشغيله تلقائيًا بعد إعادة تشغيل النظام.
وبعد ذلك، يقوم بإنشاء اتصالات مع خادم Pastebin لاستخراج المعلومات الحساسة من الجهاز المخترق، بما في ذلك تفاصيل حول إصدار نظام التشغيل وبرنامج مكافحة الفيروسات المثبت، وبيانات الحساب من Google Chrome، وMozilla Firefox، وInternet Explorer، وFoxmail، وOutlook، وThunderbird.
وهو مصمم أيضًا لتلقي أوامر إضافية من الخادم لتنزيل المزيد من الحمولات وتنفيذها، وتسجيل ضغطات المفاتيح، وتشغيل الأوامر باستخدام cmd.exe أو PowerShell، وإعادة تشغيل النظام أو إيقاف تشغيله، وتثبيت وكيل، وإزالة نفسه.
وقالت BI.ZONE: “إن استخدام أنواع الملفات الأقل شيوعًا مثل JAR يمكّن المهاجمين من تجاوز الدفاعات”. “إن استخدام خدمات الويب المشروعة مثل Pastebin للتواصل مع النظام المخترق يجعل من الممكن التهرب من حلول أمان الشبكة.”
إرسال التعليق