يستغل المتسللون ثغرة WinRAR في الهجمات ضد روسيا وبيلاروسيا
مجموعة hacktivist المعروفة باسم رئيس فرس تم ربطه بالهجمات السيبرانية التي تستهدف حصريًا المنظمات الموجودة في روسيا وبيلاروسيا.
“يستخدم Head Mare أساليب أكثر حداثة للحصول على الوصول الأولي،” Kaspersky قال في تحليل يوم الاثنين لتكتيكات الجماعة وأدواتها.
“على سبيل المثال، استفاد المهاجمون من الثغرة الأمنية CVE-2023-38831 الحديثة نسبيًا في WinRAR، والتي تسمح للمهاجم بتنفيذ تعليمات برمجية عشوائية على النظام عبر أرشيف مُعد خصيصًا. ويسمح هذا الأسلوب للمجموعة بتسليم وإخفاء الحمولة الضارة بشكل أكثر فعالية.”
تعد Head Mare، النشطة منذ عام 2023، إحدى مجموعات القرصنة الإلكترونية التي تهاجم المنظمات الروسية في سياق الصراع الروسي الأوكراني الذي بدأ قبل عام.
كما أنها تحافظ على أ التواجد على Xحيث قامت بتسريب معلومات حساسة ووثائق داخلية من الضحايا. وتشمل أهداف هجمات المجموعة قطاعات الحكومات والنقل والطاقة والتصنيع والبيئة.
على عكس الشخصيات الناشطة في مجال القرصنة التي تعمل على الأرجح بهدف إلحاق “أقصى قدر من الضرر” بالشركات في البلدين، يقوم Head Mare أيضًا بتشفير أجهزة الضحايا باستخدام LockBit لنظام التشغيل Windows وBabuk لنظام التشغيل Linux (ESXi)، ويطالب بفدية لفك تشفير البيانات.
جزء من مجموعة أدواتها أيضًا هو PhantomDL وPhantomCore، الأول منها عبارة عن ملف الباب الخلفي القائم على الذهاب قادرة على تقديم حمولات إضافية وتحميل الملفات ذات الأهمية إلى خادم القيادة والتحكم (C2).
PhantomCore (المعروف أيضًا باسم PhantomRAT)، وهو سابق لـ PhantomDL، هو حصان طروادة للوصول عن بعد مع ميزات مشابهة، مما يسمح بتنزيل الملفات من خادم C2، وتحميل الملفات من مضيف مخترق إلى خادم C2، بالإضافة إلى تنفيذ الأوامر في cmd.exe. مترجم سطر الأوامر.
وقال كاسبيرسكي: “يقوم المهاجمون بإنشاء مهام مجدولة وقيم تسجيل تسمى MicrosoftUpdateCore وMicrosoftUpdateCoree لإخفاء نشاطهم كمهام مرتبطة ببرامج Microsoft”.
“لقد وجدنا أيضًا أن بعض عينات LockBit التي تستخدمها المجموعة تحمل الأسماء التالية: OneDrive.exe [and] VLC.exe. تم العثور على هذه العينات في الدليل C:\ProgramData، وتم إخفاء نفسها كتطبيقات OneDrive وVLC الشرعية.”
تم العثور على كلا القطع الأثرية لتوزيعها عبر حملات التصيد الاحتيالي في شكل مستندات عمل ذات امتدادات مزدوجة (على سبيل المثال، الحل رقم №201-5_10вэ_001-24 من الشاشة 2.pdf.exe أو тз на разработку.pdf.exe) ).
عنصر حاسم آخر في ترسانتها الهجومية هو Sliver، وهو إطار عمل C2 مفتوح المصدر، ومجموعة من الأدوات المتنوعة المتاحة للجمهور مثل rsockstun وngrok وMimikatz التي تسهل الاكتشاف والحركة الجانبية وجمع بيانات الاعتماد.
تبلغ عمليات الاقتحام ذروتها في نشر إما LockBit أو Babuk اعتمادًا على البيئة المستهدفة، يليها إسقاط مذكرة فدية تطالب بالدفع مقابل برنامج فك التشفير لفتح الملفات.
وقال بائع الأمن السيبراني الروسي: “إن التكتيكات والأساليب والإجراءات والأدوات التي تستخدمها مجموعة Head Mare تشبه بشكل عام تلك التي تستخدمها المجموعات الأخرى المرتبطة بمجموعات تستهدف المنظمات في روسيا وبيلاروسيا في سياق الصراع الروسي الأوكراني”.
“ومع ذلك، تميز المجموعة نفسها باستخدام برامج ضارة مصممة خصيصًا مثل PhantomDL وPhantomCore، بالإضافة إلى استغلال ثغرة أمنية جديدة نسبيًا، CVE-2023-38831، لاختراق البنية التحتية لضحاياها في حملات التصيد الاحتيالي.”
إرسال التعليق