قراصنة مرتبطون بروسيا يستهدفون المنظمات غير الحكومية ووسائل الإعلام في أوروبا الشرقية
أصبحت المنظمات غير الربحية الروسية والبيلاروسية، ووسائل الإعلام الروسية المستقلة، والمنظمات الدولية غير الحكومية النشطة في أوروبا الشرقية، هدفاً لحملتين منفصلتين للتصيد الاحتيالي نظمتهما جهات تهديد تتوافق مصالحها مع مصالح الحكومة الروسية.
في حين أن إحدى الحملات – التي أطلق عليها اسم نهر Phish – تُنسب إلى COLDRIVER، وهي مجموعة معادية لها علاقات مع جهاز الأمن الفيدرالي الروسي (FSB)، فقد تم اعتبار المجموعة الثانية من الهجمات من عمل مجموعة تهديد غير موثقة سابقًا تحمل الاسم الرمزي COLDWASTREL.
وشملت أهداف الحملات أيضًا شخصيات معارضة روسية بارزة في المنفى، ومسؤولين وأكاديميين في مركز الأبحاث والفضاء السياسي الأمريكي، وسفير أمريكي سابق في أوكرانيا، وفقًا لتحقيق مشترك أجرته منظمة Access Now وCitizen Lab.
“تم تصميم كلا النوعين من الهجمات بشكل كبير لخداع أعضاء المنظمات المستهدفة بشكل أفضل،” Access Now قال. “إن نمط الهجوم الأكثر شيوعًا الذي لاحظناه هو رسالة بريد إلكتروني مرسلة إما من حساب مخترق أو من حساب يبدو مشابهًا للحساب الحقيقي لشخص ربما تعرفه الضحية.”
يتضمن River of Phish استخدام أساليب الهندسة الاجتماعية المخصصة والمقبولة للغاية لخداع الضحايا للنقر على رابط مضمن في مستند PDF، مما يعيد توجيههم إلى صفحة تجميع بيانات الاعتماد، ولكن ليس قبل أخذ بصمات المضيفين المصابين في محاولة محتملة لمنع الأدوات الآلية من الوصول إلى البنية التحتية للمرحلة الثانية.
يتم إرسال رسائل البريد الإلكتروني من حسابات البريد الإلكتروني لـ Proton Mail التي تنتحل صفة منظمات أو أفراد كانوا مألوفين أو معروفين للضحايا.
“لقد لاحظنا في كثير من الأحيان أن المهاجم يغفل إرفاق ملف PDF بالرسالة الأولية التي تطلب مراجعة الملف” المرفق “،” كما قال Citizen Lab قال. “نعتقد أن هذا كان مقصودًا، ويهدف إلى زيادة مصداقية الاتصال، وتقليل مخاطر الاكتشاف، واختيار الأهداف التي استجابت للنهج الأولي فقط (على سبيل المثال، الإشارة إلى عدم وجود مرفق)”.
يتم تعزيز الروابط إلى COLDRIVER من خلال حقيقة أن الهجمات تستخدم مستندات PDF التي تبدو مشفرة وتحث الضحايا على فتحها في Proton Drive من خلال النقر على الرابط، وهي خدعة استخدمها ممثل التهديد في الماضي.
تمتد بعض عناصر الهندسة الاجتماعية أيضًا إلى COLDWASTREL، لا سيما في استخدام Proton Mail وProton Drive لخداع الأهداف للنقر على رابط ونقلهم إلى صفحة تسجيل دخول مزيفة (“protondrive”[.]online” أو “protondrive[.]الخدمات”) لبروتون. وتم تسجيل الهجمات لأول مرة في مارس 2023.
ومع ذلك، ينحرف COLDWASTREL عن COLDRIVER عندما يتعلق الأمر باستخدام النطاقات المتشابهة لجمع بيانات الاعتماد والاختلافات في محتوى PDF والبيانات الوصفية. ولم يُنسب النشاط إلى جهة فاعلة معينة في هذه المرحلة.
وقال Citizen Lab: “عندما تظل تكلفة الاكتشاف منخفضة، فإن التصيد الاحتيالي لا يظل تقنية فعالة فحسب، بل وسيلة لمواصلة الاستهداف العالمي مع تجنب تعريض قدرات أكثر تطورًا (وتكلفة) للاكتشاف”.
إرسال التعليق