متابعات-ميكسي نيوز
….وكالات حكومية الإمارات والوكويت هي أهداف لحملة جديدة من الإلكترونية التي يحتمل أن تنفذها ممثلي التهديد الإيراني ، وفقًا للبحث الجديد.
إسناد العملية إلى عمل قطة ثابتة (AKA Mercury أو Muddywater) ، Anomali قال الهدف من هذا النشاط هو تثبيت أداة إدارة عن بُعد تسمى screenconnect (التي تم الحصول عليها من قبل ConnectWise 2015) بمعلمات إطلاق فريدة لها خصائص مخصصة ، “مع عينات البرامج الضارة وعنوان عناوين URL تتنكر كوزارة الشؤون الخارجية (MOFA) في الكويت والمجلس الوطني الإماراتي.
منذ أصولها في عام 2017 ، تم ربط Muddywater بعدد من الهجمات في المقام الأول ضد دول الشرق الأوسط ، بنشاط استغلال الضعف Zerologon في حملات الهجوم في العالم الحقيقي لضرب بارز المنظمات الإسرائيلية مع حمولات ضارة.
يُعتقد أن مجموعة القرصنة التي ترعاها الدولة تعمل بناءً على طلب من فيلق حرس الجمهورية الإسلامية الإيرانية ، وخدمة الاستخبارات الابتدائية في البلاد والخدمة العسكرية.
قالت Anomali إنها رصدت ملفين منفصلين من الرمز البريدي المستضاف على OneHub يزعم أنه يحتوي على تقرير عن العلاقات بين الدول العربية وإسرائيل أو ملف يتعلق بالمنح الدراسية.
وأشار الباحثون إلى أن “URLs الموزعة من خلال رسائل البريد الإلكتروني الخادقة هذه المباشرين على موقع تخزين الملفات المقصود على OneHub ، وهي خدمة شرعية معروفة باستخدامها من قبل القطة الثابتة لأغراض شائنة” ، كما أشار الباحثون إلى أن “Kitten Static يستمر في استخدام Onehub لاستضافة ملف يحتوي على شاش.”
يبدأ الهجوم عن طريق توجيه المستخدمين إلى عنوان URL للتنزيل يشير إلى ملفات zip هذه عبر بريد إلكتروني للتصيد الخداع ، عند فتحه ، يقوم بتشغيل عملية التثبيت لشركة ScreenConnect ، ويستخدمها لاحقًا للتواصل مع الخصم. يتم توزيع عناوين URL نفسها من خلال وثائق شرك المضمنة في رسائل البريد الإلكتروني.
ConnectWise Control (يطلق عليه سابقًا ScreenConnect) هو تطبيق برنامج سطح المكتب عن بُعد مستضيفًا ذاتيًا مع دعم للوصول غير المراقب والاجتماعات مع ميزات مشاركة الشاشة.
الهدف النهائي للمهاجمين هو استخدام البرنامج للاتصال بنقاط النهاية على شبكات العميل ، مما يتيح لهم إجراء المزيد من الحركات الجانبية وتنفيذ أوامر تعسفية في البيئات المستهدفة في محاولة لتسهيل سرقة البيانات.
وخلص الباحثون إلى أن “استخدام البرامج المشروعة لأغراض خبيثة يمكن أن يكون وسيلة فعالة لمجلة التهديدات لإلغاء عملياتهم”. “في هذا المثال الأخير ، من المحتمل جدًا أن تستخدم Static Chinten ميزات ScreenConnect لسرقة المعلومات الحساسة أو تنزيل البرامج الضارة لعمليات إلكترونية إضافية.”
متابعات-ميكسي نيوز
….وكالات حكومية الإمارات والوكويت هي أهداف لحملة جديدة من الإلكترونية التي يحتمل أن تنفذها ممثلي التهديد الإيراني ، وفقًا للبحث الجديد.
إسناد العملية إلى عمل قطة ثابتة (AKA Mercury أو Muddywater) ، Anomali قال الهدف من هذا النشاط هو تثبيت أداة إدارة عن بُعد تسمى screenconnect (التي تم الحصول عليها من قبل ConnectWise 2015) بمعلمات إطلاق فريدة لها خصائص مخصصة ، “مع عينات البرامج الضارة وعنوان عناوين URL تتنكر كوزارة الشؤون الخارجية (MOFA) في الكويت والمجلس الوطني الإماراتي.
منذ أصولها في عام 2017 ، تم ربط Muddywater بعدد من الهجمات في المقام الأول ضد دول الشرق الأوسط ، بنشاط استغلال الضعف Zerologon في حملات الهجوم في العالم الحقيقي لضرب بارز المنظمات الإسرائيلية مع حمولات ضارة.
يُعتقد أن مجموعة القرصنة التي ترعاها الدولة تعمل بناءً على طلب من فيلق حرس الجمهورية الإسلامية الإيرانية ، وخدمة الاستخبارات الابتدائية في البلاد والخدمة العسكرية.
قالت Anomali إنها رصدت ملفين منفصلين من الرمز البريدي المستضاف على OneHub يزعم أنه يحتوي على تقرير عن العلاقات بين الدول العربية وإسرائيل أو ملف يتعلق بالمنح الدراسية.
وأشار الباحثون إلى أن “URLs الموزعة من خلال رسائل البريد الإلكتروني الخادقة هذه المباشرين على موقع تخزين الملفات المقصود على OneHub ، وهي خدمة شرعية معروفة باستخدامها من قبل القطة الثابتة لأغراض شائنة” ، كما أشار الباحثون إلى أن “Kitten Static يستمر في استخدام Onehub لاستضافة ملف يحتوي على شاش.”
يبدأ الهجوم عن طريق توجيه المستخدمين إلى عنوان URL للتنزيل يشير إلى ملفات zip هذه عبر بريد إلكتروني للتصيد الخداع ، عند فتحه ، يقوم بتشغيل عملية التثبيت لشركة ScreenConnect ، ويستخدمها لاحقًا للتواصل مع الخصم. يتم توزيع عناوين URL نفسها من خلال وثائق شرك المضمنة في رسائل البريد الإلكتروني.
ConnectWise Control (يطلق عليه سابقًا ScreenConnect) هو تطبيق برنامج سطح المكتب عن بُعد مستضيفًا ذاتيًا مع دعم للوصول غير المراقب والاجتماعات مع ميزات مشاركة الشاشة.
الهدف النهائي للمهاجمين هو استخدام البرنامج للاتصال بنقاط النهاية على شبكات العميل ، مما يتيح لهم إجراء المزيد من الحركات الجانبية وتنفيذ أوامر تعسفية في البيئات المستهدفة في محاولة لتسهيل سرقة البيانات.
وخلص الباحثون إلى أن “استخدام البرامج المشروعة لأغراض خبيثة يمكن أن يكون وسيلة فعالة لمجلة التهديدات لإلغاء عملياتهم”. “في هذا المثال الأخير ، من المحتمل جدًا أن تستخدم Static Chinten ميزات ScreenConnect لسرقة المعلومات الحساسة أو تنزيل البرامج الضارة لعمليات إلكترونية إضافية.”
