الأمن السيبراني APT28, HeadLace, إغراء, الاحتيالي, التصيد, الخاص, الدبلوماسيين, السيارات, الضارة, ببرمجيات, بمبيعات, تستهدف, عبر eshrag أغسطس 2, 2024 0 تعليقات

تستهدف APT28 الدبلوماسيين ببرمجيات HeadLace الضارة عبر إغراء التصيد الاحتيالي الخاص بمبيعات السيارات

02 أغسطس 2024رافي لاكشمانانالتجسس السيبراني / البرامج الضارة

تم ربط جهة تهديد مرتبطة بروسيا بحملة جديدة استخدمت سيارة للبيع كوسيلة للتصيد الاحتيالي لتقديم باب خلفي معياري لنظام Windows يسمى HeadLace.

“من المرجح أن الحملة استهدفت الدبلوماسيين وبدأت في وقت مبكر من مارس 2024،” وحدة بالو ألتو نتوركس 42 قال في تقرير نُشر اليوم، نسبها بمستوى متوسط إلى عالٍ من الثقة إلى APT28، والتي يشار إليها أيضًا باسم BlueDelta، وFancy Bear، وFighting Ursa، وForest Blizzard، وFROZENLAKE، وIron Twilight، وITG05، وPawn Storm، وSednit، وSofacy، و TA422.

تجدر الإشارة إلى أن موضوعات إغراء التصيد الاحتيالي للسيارات المعروضة للبيع قد تم استخدامها سابقًا من قبل مجموعة دولة قومية روسية مختلفة تسمى APT29 منذ يوليو 2023، مما يشير إلى أن APT28 تعيد استخدام التكتيكات الناجحة لحملاتها الخاصة.

وفي وقت سابق من شهر مايو/أيار الماضي، تورط ممثل التهديد في سلسلة من الحملات التي استهدفت شبكات في جميع أنحاء أوروبا باستخدام برنامج HeadLace الضار وصفحات الويب لجمع بيانات الاعتماد.

وتتميز الهجمات باستخدام خدمة مشروعة تعرف باسم webhook[.]site – السمة المميزة للعمليات الإلكترونية لـ APT28 جنبًا إلى جنب مع Mocky – لاستضافة صفحة HTML ضارة، والتي تتحقق أولاً مما إذا كان الجهاز المستهدف يعمل على نظام Windows وإذا كان الأمر كذلك، فإنه يقدم أرشيف مضغوط للتحميل (“IMG-387470302099.zip”).

إذا لم يكن النظام قائمًا على Windows، فإنه يعيد التوجيه إلى صورة خادعة مستضافة على ImgBB، وتحديدًا سيارة Audi Q7 Quattro SUV.

يوجد داخل الأرشيف ثلاثة ملفات: آلة حاسبة Windows الشرعية القابلة للتنفيذ والتي تتنكر كملف صورة (“IMG-387470302099.jpg.exe”)، وDLL (“WindowsCodecs.dll”)، وبرنامج نصي دفعي (“zqtxmo.bat” “).

يتم استخدام الآلة الحاسبة الثنائية لتحميل ملف DLL الضار، وهو أحد مكونات الباب الخلفي HeadLace المصمم لتشغيل البرنامج النصي الدفعي، والذي بدوره ينفذ أمرًا مشفرًا بـ Base64 لاسترداد ملف من خطاف ويب آخر[.]URL الموقع.

يتم بعد ذلك حفظ هذا الملف باسم “IMG387470302099.jpg” في مجلد التنزيلات الخاص بالمستخدمين وإعادة تسميته إلى “IMG387470302099.cmd” قبل التنفيذ، وبعد ذلك يتم حذفه لمحو آثار أي نشاط ضار.

وقالت الوحدة 42: “بينما تختلف البنية التحتية التي تستخدمها Fighting Ursa باختلاف حملات الهجوم، فإن المجموعة تعتمد في كثير من الأحيان على هذه الخدمات المتاحة مجانًا”. “علاوة على ذلك، فإن تكتيكات هذه الحملة تتناسب مع حملات Fighting Ursa الموثقة مسبقًا، والباب الخلفي HeadLace حصري لممثل التهديد هذا.”

وجدت هذه المادة مثيرة للاهتمام؟ اتبعنا تويتر و ينكدين لقراءة المزيد من المحتوى الحصري الذي ننشره.

Source link