أخبار تقنية

إنذار: هجمات إلكترونية تستهدف سلاسل الإمداد في أمريكا الشمالية Lumma Stealer وNetSupport Malware

تستفيد مجموعة الأنشطة، وفقًا لـ Proofpoint، من حسابات البريد الإلكتروني الشرعية المخترقة التابعة لشركات النقل والشحن وذلك لإدخال محتوى ضار في محادثات البريد الإلكتروني الحالية.

أصبحت شركات النقل والخدمات اللوجستية في أمريكا الشمالية هدفًا لحملة تصيد جديدة توفر مجموعة متنوعة من سارقي المعلومات وأحصنة طروادة التي يمكن الوصول إليها عن بُعد (RATs).

تستفيد مجموعة الأنشطة، وفقًا لـ Proofpoint، من حسابات البريد الإلكتروني الشرعية المخترقة التابعة لشركات النقل والشحن وذلك لإدخال محتوى ضار في محادثات البريد الإلكتروني الحالية.

تم تحديد ما يصل إلى 15 حساب بريد إلكتروني مخترقًا على أنها مستخدمة كجزء من الحملة. ليس من الواضح حاليًا كيف تم اختراق هذه الحسابات في المقام الأول أو من يقف وراء الهجمات.

“الأنشطة التي حدثت في الفترة من مايو إلى يوليو 2024 كانت في الغالب تتعلق بـ Lumma Stealer أو StealC أو NetSupport،” شركة أمن المؤسسات قال في تحليل نشر الثلاثاء.

“في أغسطس 2024، قام ممثل التهديد بتغيير تكتيكاته من خلال استخدام بنية تحتية جديدة وتقنية توصيل جديدة، بالإضافة إلى إضافة حمولات لتوصيل DanaBot و Arechclient2.”

تتضمن سلاسل الهجوم إرسال رسائل تحتوي على مرفقات اختصارات الإنترنت (URL) أو عناوين URL في Google Drive تؤدي إلى ملف .URL الذي يستخدم، عند إطلاقه، Server message Block (SMB) لجلب حمولة المرحلة التالية التي تحتوي على البرامج الضارة من مشاركة عن بعد.

بعض متغيرات الحملة التي تمت ملاحظتها في أغسطس 2024 قد تمسكت أيضًا بتقنية شائعة مؤخرًا تسمى ClickFix لخداع الضحايا لتنزيل البرنامج الضار DanaBot بحجة معالجة مشكلة في عرض محتوى المستند في متصفح الويب.

على وجه التحديد، يتضمن ذلك حث المستخدمين على نسخ ولصق برنامج PowerShell النصي المشفر باستخدام Base64 في الجهاز، وبالتالي إطلاق عملية الإصابة.

وقال بروف بوينت: “لقد انتحلت هذه الحملات صفة Samsara وAMB Logistic وAstra TMS – وهي برامج لن يتم استخدامها إلا في إدارة عمليات النقل والأسطول”.

“إن الاستهداف والتسويات المحددة للمؤسسات في مجال النقل والخدمات اللوجستية، بالإضافة إلى استخدام الإغراءات التي تنتحل شخصية البرامج المصممة خصيصًا لعمليات الشحن وإدارة الأسطول، تشير إلى أن الممثل من المحتمل أن يجري بحثًا عن عمليات الشركة المستهدفة قبل إرسال الحملات.”

ويأتي هذا الكشف وسط ظهور سلالات مختلفة من البرامج الضارة السارقة مثل سارق غاضب, سرقة BLX (المعروف أيضًا باسم XLABB Stealer)، سارق إيمانسريبو, عمورة السارق, لوكسي, بوسيدون, بوويرشيل كلوغر, كويرتي سارق, سارق طالبان, X-FILES سارق، ومتغير مرتبط بـ CryptBot مدبلج بعد سارق سخيف آخر (ياس).

الأمن السيبراني

كما أنه يتبع ظهور نسخة جديدة من RomCom RAT، خلفًا لـ PEAPOD (المعروف أيضًا باسم RomCom 4.0) الذي يحمل الاسم الرمزي SnipBot والذي يتم توزيعه عبر روابط زائفة مضمنة في رسائل البريد الإلكتروني التصيدية. تم تسليط الضوء مسبقًا على بعض جوانب الحملة من قبل فريق الاستجابة لطوارئ الكمبيوتر في أوكرانيا (CERT-UA) في يوليو 2024.

“يمنح SnipBot المهاجم القدرة على تنفيذ الأوامر وتنزيل وحدات إضافية على نظام الضحية،” يارون صموئيل ودومينيك رايشيل، الباحثان في الوحدة 42 من بالو ألتو نتوركس قال.

“الحمولة الأولية تكون دائمًا إما أداة تنزيل قابلة للتنفيذ ومقنعة كملف PDF أو ملف PDF فعلي يتم إرساله إلى الضحية في رسالة بريد إلكتروني تؤدي إلى ملف قابل للتنفيذ.”

يستخدم الإصدار الأخير مجموعة موسعة من 27 أمرًا، مما يسمح للمشغلين بتعداد مسارات الدليل، وتشغيل الأوامر باستخدام cmd.exe، وتحميل وتنزيل الملفات، وجمع قائمة بالعمليات الجارية، وإعداد وكيل SOCKS، واستخدام 7-Zip لـ إنشاء أرشيف للمسار المقدم من المهاجم.

في حين أن الأنظمة المصابة بـ RomCom شهدت أيضًا عمليات نشر لبرامج الفدية في الماضي، فقد أشارت شركة الأمن السيبراني إلى غياب هذا السلوك، مما يزيد من احتمال أن التهديد الكامن وراء البرامج الضارة، Tropical Scorpius (المعروف أيضًا باسم Void Rabisu)، قد تحول من تحقيق مكاسب مالية خالصة إلى تجسس.

إدارة ميكسي نيوز

ميكسي نيوز منصة إخبارية عربية تقدم تغطية شاملة لأهم الأحداث حول العالم، مع التركيز على الاخبار التقنية، والرياضية، والفنية، بتحديث مستمر ومصداقية عالية

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى