هاكرز يستغلون الحرب الأوكرانية لخداع الضحايا بملفات مُلغّمة!

متابعات-ميكسي نيوز

هاكرز…يستخدم عدد متزايد من الجهات الفاعلة التهديدات الحرب المستمرة في حرب Russo-Okrainian كإغراء في مختلف حملات التصيد والبرامج الضارة ، حتى مع استمرار استهداف كيانات البنية التحتية الحرجة.

“الممثلون المدعومون من الحكومة من الصين وإيران وكوريا الشمالية وروسيا ، فضلاً عن مختلف المجموعات غير الموزعة ، استخدموا العديد من الموضوعات المتعلقة بحرب أوكرانيا في محاولة للحصول على أهداف لفتح رسائل البريد الإلكتروني الخبيثة أو النقر على الروابط الخبيثة” قال في تقرير.

وأضاف ليونارد: “تستخدم الجهات الفاعلة ذات الدوافع المالي والممثلة أيضًا الأحداث الجارية كوسيلة لاستهداف المستخدمين”.

أحد الممثلين البارزين للتهديد هو Gurious Gorge ، والذي نسبت TAG إلى قوة الدعم الإستراتيجي لجيش التحرير الشعبي في الصين (PLA SSF) وقد لوحظ في حكومة حكومية وعسكرية وخدمات لوجستية وتصنيع في أوكرانيا وروسيا وآسيا الوسطى.

حددت الهجمات التي تهدف إلى روسيا العديد من الكيانات الحكومية ، مثل وزارة الخارجية ، مع وجود تنازلات إضافية تؤثر على مقاولي الدفاع الروسي والمصنعين وكذلك شركة لوجستية لم تكشف عن اسمها.

تتبع النتائج إفصاحات مفادها أن ممثل التهديد المرتبط بالحكومة المرتبط بالحكومة المعروف باسم موستانج باندا (ويعرف أيضًا باسم الرئيس البرونزي) قد يستهدف المسؤولين الحكوميين الروسيين بنسخة محدثة من طروادة وصول عن بُعد تسمى Plugx.

تضمنت مجموعة أخرى من هجمات التصيد الخزالية APT28 (المعروف أيضًا باسم Bear Bear) الذين يستهدفون المستخدمين الأوكرانيين مع برامج ضارة .NET قادرة على سرقة ملفات تعريف الارتباط وكلمات المرور من متصفحات Chrome و Edge و Firefox.

تورطت أيضًا مجموعات التهديدات التي تتخذ من روسيا مقراً لها ، بما في ذلك Turla (المعروفة أيضًا باسم Bearomous Bear) و ColdRiver (المعروف أيضًا باسم Callisto) ، بالإضافة إلى طاقم اختراق البيلاروسيين يدعى Ghostwriter في حملات مختلفة للتصيد الاعتماد التي تستهدف منظمات الدفاع والأمن السيبراني في منطقة البلطيق والأفراد ذوي الخطورة العالية في أوكرين.

تم ربط ColdRiver ، الذي يطلق عليه أيضًا Gamaredon ، Primitive Bear ، Actinium ، و Armageddon ، بنوبات تصيد متعددة تستهدف المسؤولين الحكوميين في أوكرانيا ، إلى جانب المنظمات العسكرية المذهلة وغير الحكومية (المنظمات غير الحكومية) ، القضاء ، إنفاذ القانون ، والمنظمات غير الربحية في البلد لأغراض التجسس.

وجهت أحدث الهجمات لـ Ghostwriter الضحايا إلى مواقع الويب المعرضة للخطر ، حيث تم إرسال المستخدمين إلى صفحة ويب يسيطر عليها المهاجم لحصد أوراق اعتمادهم.

في حملة تصيد غير ذات صلة تستهدف كيانات في بلدان أوروبا الشرقية ، تم رصد مجموعة من القرصنة غير المعروفة من قبل ودوافع مالية من الناحية المالية تنتحل شخصية وكالة روسية لنشر بورب جافا سكريبت يدعى Darkwatchman على أجهزة الكمبيوتر المصابة.

ربط IBM Security X-Force التدخلات بمجموعة التهديدات التي تتبعها تحت لقب Hive0117.

“تنكر الحملة كاتصالات رسمية من خدمة المحضرين الفيدرالية التابعة للحكومة الروسية ، يتم توجيه رسائل البريد الإلكتروني باللغة الروسية إلى المستخدمين في ليتوانيا وإستونيا وروسيا في القطاعين الإلكترونيات والاتصالات الإلكترونية والصناعية” قال.

يأتي تحديث النشاط السيبراني حيث كشفت Microsoft عن أن ستة ممثلين مختلفين من روسيا قد أطلقت ما لا يقل عن 237 هجمات إلكترونية ضد أوكرانيا في الفترة من 23 فبراير إلى 8 أبريل ، بما في ذلك 38 هجومًا مدمرًا منفصلاً دمرته الملفات بشكل لا رجعة فيه في مئات الأنظمة عبر العشرات من المنظمات في البلاد.

كما أن التوترات الجيوسياسية والغزو العسكري الذي تلاها أوكرانيا قد غذوا أيضًا التصعيد في هجمات ممسحة البيانات تهدف إلى شل العمليات الحرجة المهمة وتدمير الأدلة الجنائية.

ما هو أكثر من ذلك ، فريق الاستجابة لحالات الطوارئ في أوكرانيا (CERT-UA) مكشوف تفاصيل هجمات رفض الخدمة الموزعة المستمرة (DDOS) الموجهة ضد بوابات الحكومة والأخبار عن طريق حقن جافا سكريبت الخبيثة (التي يطلق عليها “براون فلاود”) إلى المواقع المربوطة.

تم الإبلاغ عن هجمات DDOs إلى ما وراء أوكرانيا أيضًا. في الأسبوع الماضي ، المديرية الوطنية للأمن السيبراني الرومانيا (DNSC) تم الكشف عنها أن العديد من المواقع الإلكترونية التي تنتمي إلى المؤسسات العامة والخاصة كانت “مستهدفة من قبل المهاجمين الذين يهدفون إلى جعل هذه الخدمات عبر الإنترنت غير متوفرة”.

هذه الهجمات ، التي ادعتها جماعية مؤيدة لروسيا تدعى Killnet ، تأتي ردًا على قرار رومانيا بدعم أوكرانيا في الصراع العسكري مع روسيا.