تستهدف مجموعة التجسس الإلكتروني XDSpy شركات في روسيا ومولدوفا
كانت الشركات في روسيا ومولدوفا هدفاً لحملة تصيد نظمتها مجموعة تجسس إلكترونية غير معروفة تُعرف باسم XDSpy.
ال الموجودات تأتي من شركة الأمن السيبراني FACCT، التي قالت إن سلاسل العدوى تؤدي إلى نشر برنامج ضار يسمى DSDownloader. وأضافت أن النشاط لوحظ هذا الشهر.
XDSpy هو ممثل تهديد من أصل غير محدد أولاً مكشوف بواسطة فريق الاستجابة لطوارئ الكمبيوتر البيلاروسي، CERT.BY، في فبراير 2020. تحليل لاحق بواسطة ESET المنسوب المجموعة ل هجمات سرقة المعلومات تستهدف الوكالات الحكومية في أوروبا الشرقية ومنطقة البلقان منذ عام 2011.
من المعروف أن سلاسل الهجوم التي شنها الخصم تستفيد من رسائل البريد الإلكتروني التصيدية من أجل اختراق أهدافها باستخدام وحدة برامج ضارة رئيسية تُعرف باسم XDDown والتي بدورها تسقط مكونات إضافية إضافية لجمع معلومات النظام، وتعداد محرك الأقراص C:، ومراقبة محركات الأقراص الخارجية، تصفية الملفات المحلية وجمع كلمات المرور.
خلال العام الماضي، كان XDSpy لاحظ الاستهداف المنظمات الروسية التي تستخدم قطارة C#-base تسمى UTask المسؤولة عن تنزيل وحدة أساسية في شكل ملف قابل للتنفيذ يمكنه جلب المزيد من الحمولات من خادم القيادة والتحكم (C2).
تتضمن أحدث مجموعة من الهجمات استخدام رسائل البريد الإلكتروني التصيدية ذات الإغراءات المرتبطة بالاتفاقية لنشر ملف أرشيف RAR الذي يحتوي على ملف شرعي قابل للتنفيذ وملف DLL ضار. يتم بعد ذلك تنفيذ ملف DLL عن طريق الأول باستخدام تقنيات التحميل الجانبي لـ DLL.
تعتني المكتبة بتنزيل DSDownloader وتشغيله، والذي بدوره يفتح ملفًا خادعًا لإلهاء أثناء تنزيل المرحلة التالية من البرامج الضارة بشكل خفي من خادم بعيد. وقالت FACCT إن الحمولة لم تعد متاحة للتنزيل في وقت التحليل.
وشهدت بداية الحرب الروسية الأوكرانية عام 2022 تصاعدا كبيرا في الهجمات السيبرانية من الجانبين، مع شركات روسية مساومة بواسطة DarkWatchman RAT وكذلك عن طريق مجموعات النشاط التي تم تتبعها بالذئب الأساسيةكلاب الجحيم, فانتومكور, الذئب النادر, ريفيربيتسو و المستذئب اللزج، من بين أمور أخرى في الأشهر الأخيرة.
ما هو أكثر من ذلك، الموالية لأوكرانيا مجموعات القرصنة مثل Cyber.Anarchy.Squad، وضعت أيضًا أنظارها على الكيانات الروسية، حيث قامت بعمليات اختراق وتسريب وهجمات تخريبية ضد إنفوتيل و أفانبوست.
يأتي هذا التطوير مع قيام فريق الاستجابة لطوارئ الكمبيوتر في أوكرانيا (CERT-UA) حذر من الارتفاع الكبير في هجمات التصيد التي ينفذها ممثل تهديد بيلاروسي يُدعى UAC-0057 (المعروف أيضًا باسم GhostWriter وUNC1151) والذي يوزع عائلة من البرامج الضارة يشار إليها باسم PicassoLoader بهدف إسقاط Cobalt Strike Beacon على المضيفين المصابين.
ويأتي ذلك أيضًا بعد اكتشاف حملة جديدة من مجموعة Turla المرتبطة بروسيا والتي تستخدم ملف اختصار Windows (LNK) الضار كقناة لخدمة باب خلفي بدون ملفات يمكنه تنفيذ نصوص PowerShell الواردة من خادم شرعي ولكن مخترق وتعطيله. ميزات الأمان.
“كما أنها تستخدم تصحيح الذاكرة وتجاوز AMSI وتعطيل ميزات تسجيل أحداث النظام لإضعاف دفاع النظام لتعزيز قدرته على المراوغة،” هذا ما قاله باحثو G DATA. قال. “إنه يستفيد من msbuild.exe من Microsoft لتنفيذ تجاوز AWL (القائمة البيضاء للتطبيقات) لتجنب الكشف.”
إرسال التعليق