عادت جهة التهديد المعروفة باستهداف المؤسسات في أوكرانيا بشكل متكرر باستخدام أداة المراقبة والتحكم عن بعد RemcosRAT مرة أخرى، وهذه المرة بتكتيك جديد لنقل البيانات دون تشغيل أنظمة الكشف عن نقاط النهاية والاستجابة لها.
ويركز العدو، الذي يحمل اسم UNC-0050، على الكيانات الحكومية الأوكرانية في حملته الأخيرة. وقال الباحثون في Uptycs الذين اكتشفوا هذه الهجمات إن الهجمات قد تكون ذات دوافع سياسية، بهدف جمع معلومات استخباراتية محددة من الوكالات الحكومية الأوكرانية. "على الرغم من أن احتمال رعاية الدولة لا يزال موضع تكهنات، فإن أنشطة المجموعة تشكل خطرًا لا يمكن إنكاره، خاصة بالنسبة للقطاعات الحكومية التي تعتمد على أنظمة Windows،" هذا ما قاله الباحثان في Uptycs، كارثيكومار كاثيريسان وشيلبيش تريفيدي. كتب في تقرير هذا الاسبوع.
التهديد RemcosRAT
وقد استخدمت الجهات الفاعلة التهديد ريمكوسرات - التي بدأت حياتها كأداة شرعية للإدارة عن بعد - للتحكم في الأنظمة المخترقة منذ عام 2016 على الأقل. ومن بين أمور أخرى، تسمح الأداة للمهاجمين بجمع وتصفية معلومات النظام والمستخدم والمعالج. يمكن تجنب العديد من أدوات مكافحة الفيروسات وأدوات الكشف عن تهديدات نقاط النهاية وتنفيذ مجموعة متنوعة من أوامر الباب الخلفي. في كثير من الحالات، قامت الجهات الفاعلة في مجال التهديد بتوزيع البرامج الضارة في مرفقات في رسائل البريد الإلكتروني التصيدية.
لم تتمكن Uptycs من تحديد ناقل الهجوم الأولي في الحملة الأخيرة حتى الآن، لكنها قالت إنها تميل نحو رسائل التصيد الاحتيالي ورسائل البريد الإلكتروني العشوائية ذات الطابع الوظيفي، حيث إنها على الأرجح طريقة توزيع البرامج الضارة. استند البائع الأمني في تقييماته إلى رسائل البريد الإلكتروني التي استعرضها والتي تزعم أنها تعرض على أفراد عسكريين أوكرانيين مستهدفين أدوارًا استشارية في قوات الدفاع الإسرائيلية.
وقالت Uptycs إن سلسلة العدوى نفسها تبدأ بملف lnk الذي يجمع معلومات حول النظام المخترق ثم يسترد تطبيق HTML المسمى 6.hta من خادم بعيد يتحكم فيه المهاجم باستخدام ثنائي أصلي لنظام Windows. يحتوي التطبيق الذي تم استرداده على برنامج PowerShell النصي الذي يبدأ الخطوات لتنزيل ملفين آخرين للحمولة (word_update.exe وofer.docx) من مجال يتحكم فيه المهاجم - وفي النهاية - لتثبيت RemcosRAT على النظام.
تكتيك نادر إلى حد ما
ما يجعل حملة UNC-0050 الجديدة مختلفة هو استخدام جهة التهديد لـ الاتصالات بين العمليات في Windows ميزة تسمى الأنابيب المجهولة لنقل البيانات على الأنظمة المخترقة. كما تصفها ميكروسوفت، فإن الأنبوب المجهول هو قناة اتصال أحادية الاتجاه لنقل البيانات بين عملية الأصل والعملية الفرعية. وقال كاثيريسان وتريفيدي إن UNC-0050 يستفيد من هذه الميزة لتوجيه البيانات سرًا دون تشغيل أي تنبيهات EDR أو تنبيهات مكافحة الفيروسات.
وأشار باحثو Uptycs إلى أن UNC-0050 ليس أول جهة تهديد تستخدم الأنابيب لتصفية البيانات المسروقة، لكن هذا التكتيك يظل نادرًا نسبيًا. وقالوا: "على الرغم من أنها ليست جديدة تمامًا، إلا أن هذه التقنية تمثل قفزة كبيرة في تطور استراتيجيات المجموعة".
وهذه ليست المرة الأولى التي يرصد فيها باحثون أمنيون UAC-0050 وهو يحاول توزيع RemcosRAT على أهداف في أوكرانيا. في مناسبات متعددة العام الماضي، حذر فريق الاستجابة لطوارئ الكمبيوتر (CERT-UA) في أوكرانيا من حملات يقوم بها ممثل التهديد لتوزيع حصان طروادة الذي يمكن الوصول إليه عن بعد على المنظمات في البلاد.
الأحدث كان الاستشارة بتاريخ 21 ديسمبر 2023، حول حملة تصيد جماعية تتضمن رسائل بريد إلكتروني تحتوي على مرفقات يُزعم أنها عقد مبرم مع Kyivstar، أحد أكبر مزودي خدمات الاتصالات في أوكرانيا. وفي وقت سابق من شهر ديسمبر، حذر فريق CERT-UA من حدوث مشكلة أخرى التوزيع الشامل RemcosRAT تتضمن هذه الحملة رسائل بريد إلكتروني تزعم أنها تتعلق بـ "المطالبات القضائية" و"الديون" التي تستهدف المنظمات والأفراد في أوكرانيا وبولندا. تحتوي رسائل البريد الإلكتروني على مرفق في شكل ملف أرشيف أو ملف RAR.
أصدر CERT-UA تنبيهات مماثلة في ثلاث مناسبات أخرى في العام الماضي، واحدة في نوفمبر، حيث كانت رسائل البريد الإلكتروني التي تحمل عنوان أمر استدعاء من المحكمة بمثابة وسيلة التسليم الأولية؛ وأخرى، في نوفمبر/تشرين الثاني أيضًا، تحتوي على رسائل بريد إلكتروني يُزعم أنها من جهاز الأمن الأوكراني؛ والأولى في فبراير 2023 حول حملة بريد إلكتروني جماعية تحتوي على مرفقات يبدو أنها مرتبطة بمحكمة محلية في كييف.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign
