شركة Secret Blizzard تنشر Kazuar Backdoor في أوكرانيا باستخدام برنامج Amadey الضار كخدمة
تتبع ممثل الدولة القومية الروسية عاصفة ثلجية سرية وقد لوحظ أنه يستفيد من البرامج الضارة المرتبطة بالجهات الفاعلة الأخرى في مجال التهديد لنشر باب خلفي معروف يسمى Kazuar على الأجهزة المستهدفة الموجودة في أوكرانيا.
تأتي النتائج الجديدة من فريق استخبارات التهديدات التابع لشركة Microsoft، والذي قال إنه لاحظ أن الخصم يستفيد من البرامج الضارة لـ Amadey bot لتنزيل برامج ضارة مخصصة على أنظمة “مختارة خصيصًا” مرتبطة بالجيش الأوكراني بين مارس وأبريل 2024.
تم تقييم هذا النشاط على أنه المرة الثانية منذ عام 2022 التي تشن فيها Secret Blizzard، المعروفة أيضًا باسم Turla، حملة جرائم إلكترونية لنشر أدواتها الخاصة في أوكرانيا.
وقالت الشركة في بيان لها: “إن السيطرة على وصول الجهات الفاعلة الأخرى في مجال التهديد يسلط الضوء على نهج Secret Blizzard في تنويع نواقل الهجوم الخاصة بها”. تقرير تمت مشاركتها مع The Hacker News.
بعض الأساليب الأخرى المعروفة التي يستخدمها طاقم القرصنة تشمل الخصم في المنتصف (آيت م) حملات التنازلات الاستراتيجية على شبكة الإنترنت (ويعرف أيضًا باسم هجمات حفرة الري)، والتصيد الاحتيالي.
تتمتع Secret Blizzard بسجل حافل في استهداف قطاعات مختلفة لتسهيل الوصول السري طويل المدى لجمع المعلومات الاستخبارية، لكن تركيزها الأساسي ينصب على وزارات الخارجية والسفارات والمكاتب الحكومية وإدارات الدفاع والشركات المرتبطة بالدفاع في جميع أنحاء العالم.
ويأتي أحدث تقرير بعد أسبوع من كشف عملاق التكنولوجيا، إلى جانب Lumen Technologies Black Lotus Labs، عن قيام شركة Turla باختطاف 33 خادمًا للقيادة والتحكم (C2) تابعة لمجموعة قرصنة مقرها باكستان تدعى Storm-0156 لتنفيذ عملياتها الخاصة. .
إن الهجمات التي تستهدف الكيانات الأوكرانية تستلزم الاستيلاء روبوتات أمادي لنشر باب خلفي يعرف باسم تافديج، والذي يتم استخدامه بعد ذلك لتثبيت إصدار محدث من Kazuar، والذي تم توثيقه بواسطة Palo Alto Networks Unit 42 في نوفمبر 2023.
يتم تتبع نشاط المجرمين الإلكترونيين المرتبطين بـ Amadey، والذي يتضمن غالبًا تنفيذ أداة تعدين العملات المشفرة XMRig، بواسطة Microsoft تحت اللقب Storm-1919.
من المعتقد أن Secret Blizzard إما استخدمت برنامج Amadey الضار كخدمة (MaaS) أو تمكنت من الوصول خلسة إلى لوحات التحكم والتحكم (C2) الخاصة بـ Amadey لتنزيل قطارة PowerShell على الأجهزة المستهدفة. تشتمل القطارة على حمولة Amadey مشفرة بـ Base64 والتي يتم إلحاقها بمقطع تعليمات برمجية، والتي تتصل مرة أخرى بخادم Turla C2.
وقالت مايكروسوفت: “إن الحاجة إلى تشفير قطارة PowerShell بعنوان URL منفصل لـ C2 يتحكم فيه Secret Blizzard يمكن أن تشير إلى أن Secret Blizzard لم يكن يتحكم بشكل مباشر في آلية C2 التي يستخدمها روبوت Amadey”.
تتضمن المرحلة التالية تنزيل أداة استطلاع مخصصة بهدف جمع تفاصيل حول جهاز الضحية والتحقق على الأرجح من تمكين Microsoft Defender، مما يمكّن جهة التهديد في نهاية المطاف من التركيز على الأنظمة ذات الاهتمام الإضافي.
في هذه المرحلة، يستمر الهجوم في نشر قطارة PowerShell التي تحتوي على الباب الخلفي Tavdig وثنائي Symantec الشرعي الذي يكون عرضة للتحميل الجانبي لـ DLL. يتم استخدام Tavdig، من جانبه، لإجراء استطلاع إضافي وإطلاق KazuarV2.
وقالت مايكروسوفت إنها اكتشفت أيضًا جهة التهديد التي تعيد استخدام باب PowerShell الخلفي المرتبط بمجموعة قرصنة مختلفة مقرها روسيا تسمى Flying Yeti (المعروفة أيضًا باسم Storm-1837 وUAC-0149) لنشر قطارة PowerShell التي تتضمن Tavdig.
وأشار عملاق التكنولوجيا إلى أن التحقيق في كيفية سيطرة Secret Blizzard على الباب الخلفي Storm-1837 أو روبوتات Amadey لتنزيل أدواتها الخاصة مستمر حاليًا.
وغني عن القول أن النتائج تسلط الضوء مرة أخرى على سعي جهة التهديد المتكررة لموطئ قدم توفره أطراف أخرى، إما عن طريق شراء إمكانية الوصول أو سرقتها، للقيام بحملات تجسس بطريقة تحجب وجودها.
وقال شيرود ديجريبو، مدير استراتيجية استخبارات التهديدات في مايكروسوفت، لصحيفة The Hacker News: “ليس من غير المألوف أن يستخدم الفاعلون نفس التكتيكات أو الأدوات، على الرغم من أننا نادرًا ما نرى دليلاً على قيامهم بالمساس واستخدام البنية التحتية لجهات فاعلة أخرى”.
“لدى معظم الجهات الفاعلة في مجال التهديد الذي ترعاه الدولة أهداف تشغيلية تعتمد على بنية تحتية مخصصة أو تم اختراقها بعناية للحفاظ على سلامة عملياتها. ومن المحتمل أن يكون هذا أسلوب تشويش فعال لإحباط محللي استخبارات التهديدات وجعل الإسناد إلى جهة التهديد الصحيحة أكثر صعوبة.”
إرسال التعليق