تهديد سيبراني جديد يستهدف دبلوماسيي أذربيجان وإسرائيل، ويسرق بيانات حساسة
يُنسب إلى جهة تهديد غير معروفة سابقًا سلسلة من الهجمات التي استهدفت أذربيجان وإسرائيل بهدف سرقة البيانات الحساسة.
استفادت حملة الهجوم، التي اكتشفتها NSFOCUS في 1 يوليو 2024، من رسائل البريد الإلكتروني التصيدية لاستهداف الدبلوماسيين الأذربيجانيين والإسرائيليين. يتم تتبع النشاط تحت اللقب الممثل240524.
“يمتلك Actor240524 القدرة على سرقة الأسرار وتعديل بيانات الملفات، باستخدام مجموعة متنوعة من الإجراءات المضادة لتجنب التعرض المفرط لتكتيكات وتقنيات الهجوم،” شركة الأمن السيبراني قال في تحليل نشر الأسبوع الماضي.
تبدأ سلاسل الهجوم باستخدام رسائل البريد الإلكتروني التصيدية التي تحمل مستندات Microsoft Word والتي، عند فتحها، تحث المستلمين على “تمكين المحتوى” وتشغيل ماكرو ضار مسؤول عن تنفيذ حمولة محمل وسيطة تحمل الاسم الرمزي ABCloader (“MicrosoftWordUpdater.log”).
في الخطوة التالية، يعمل ABCloader كقناة لفك تشفير وتحميل برنامج ضار DLL يسمى ABCsync (“synchronize.dll”)، والذي يقوم بعد ذلك بإنشاء اتصال مع خادم بعيد (“185.23.253″[.]143”) لتلقي الأوامر وتشغيلها.
وقال NSFOCUS: “تتمثل وظيفتها الرئيسية في تحديد بيئة التشغيل، وفك تشفير البرنامج، وتحميل ملف DLL اللاحق (ABCsync).” “ثم يقوم بعد ذلك بتنفيذ العديد من التقنيات المضادة للرمل والمضادة للتحليل للكشف البيئي.”
تتمثل بعض الوظائف البارزة لـ ABCsync في تنفيذ الأصداف البعيدة، وتشغيل الأوامر باستخدام cmd.exe، وتصفية معلومات النظام والبيانات الأخرى.
وقد لوحظ أن كلاً من ABCloader وABCsync يستخدمان تقنيات مثل تشفير السلسلة لإخفاء مسارات الملفات المهمة وأسماء الملفات والمفاتيح ورسائل الخطأ وعناوين الأوامر والتحكم (C2). كما يقومون أيضًا بإجراء عدة فحوصات لتحديد ما إذا كان يتم تصحيح أخطاء العمليات أو تنفيذها في جهاز افتراضي أو وضع الحماية من خلال التحقق من دقة العرض.
هناك خطوة حاسمة أخرى اتخذها Actor240524 وهي فحص ما إذا كان عدد العمليات الجارية في النظام المخترق أقل من 200، وإذا كان الأمر كذلك، فإنه يخرج من العملية الضارة.
تم تصميم ABCloader أيضًا لتشغيل محمل مماثل يسمى “synchronize.exe” وملف DLL يسمى “vcruntime190.dll” أو “vcruntime220.dll”، القادرين على إعداد الثبات على المضيف.
وقالت NSFOCUS: “أذربيجان وإسرائيل دولتان متحالفتان لهما تبادلات اقتصادية وسياسية وثيقة”. “من المرجح أن تهدف عملية Actor240524 هذه المرة إلى العلاقة التعاونية بين البلدين، حيث تستهدف هجمات التصيد الاحتيالي على الموظفين الدبلوماسيين في كلا البلدين.”
إرسال التعليق