تحذير CERT-UA من هجمات UAC-0173 التي تنشر DCRat لاستهداف الموثقين الأوكرانيين

تحذير CERT-UA من هجمات UAC-0173 التي تنشر DCRat لاستهداف الموثقين الأوكرانيين
تحذير CERT-UA من هجمات UAC-0173 التي تنشر DCRat لاستهداف الموثقين الأوكرانيين
شارك هذا الخبر

أصدر فريق الاستجابة لحالات الطوارئ الحاسوبية في أوكرانيا (CERT-UA) تحذيرًا يوم الثلاثاء بشأن أنشطة متجددة لمجموعة إجرامية منظمة تُعرف باسم UAC-0173، والتي تقوم بنشر حصان طروادة للوصول عن بُعد DCRat (المعروف أيضًا باسم DarkCrystal RAT) لإصابة أجهزة الكمبيوتر.

تفاصيل الهجوم وأهدافه

أكدت هيئة الأمن السيبراني الأوكرانية أن الموجة الأخيرة من الهجمات بدأت في منتصف يناير 2025، مستهدفةً الموثقين الأوكرانيين. تعتمد سلسلة العدوى على هجمات التصيد الإلكتروني، حيث يتم إرسال رسائل بريد إلكتروني احتيالية تدّعي أنها مرسلة نيابة عن وزارة العدل الأوكرانية، وتحث المستلمين على تنزيل ملف تنفيذي. عند تشغيله، يتم نشر برمجية DCRat الضارة، حيث يتم استضافتها على خدمة التخزين السحابي Cloudflare R2.

آلية الهجوم والأدوات المستخدمة

بمجرد أن يتمكن المهاجمون من الوصول إلى أجهزة الكمبيوتر المستهدفة، يقومون بتثبيت أدوات إضافية، بما في ذلك:

  • RDPWRAPPER: يُمكّن جلسات RDP المتعددة بالتوازي، مما يسمح بالوصول عن بُعد مباشرةً إلى الأجهزة المصابة عبر الإنترنت.
  • BORE: أداة تُستخدم لتسهيل الاتصال عبر RDP من الإنترنت.

كما يتم استخدام مجموعة من البرامج الضارة الأخرى، مثل:

  • FIDDLER: لاعتراض بيانات تسجيل الدخول المُدخلة في الواجهات الإلكترونية للسجلات الحكومية.
  • NMAP: لفحص الشبكات واكتشاف الأنظمة القابلة للاستغلال.
  • XWorm: لسرقة البيانات الحساسة، مثل بيانات الاعتماد ومحتوى الحافظة.

نشر الهجمات واستغلال الأنظمة المصابة

علاوةً على ذلك، يتم استغلال الأنظمة المخترقة لاستخدامها كمنصات لنشر المزيد من الهجمات، حيث يتم إرسال رسائل تصيد خبيثة عبر أداة SENDMAIL، مما يساهم في توسيع نطاق العدوى.

هجمات Sandworm واستغلال الثغرات الأمنية

يأتي هذا التطور بعد أيام قليلة من إسناد CERT-UA هجمات أخرى إلى مجموعة القرصنة Sandworm (المعروفة أيضًا باسم APT44 أو Seashell Blizzard أو UAC-0002)، والتي قامت باستغلال ثغرة أمنية في نظام Microsoft Windows (CVE-2024-38213، بدرجة خطورة 6.5) خلال النصف الثاني من عام 2024، عبر مستندات خبيثة.

وتضمنت سلاسل الهجوم تشغيل أوامر PowerShell، التي تقوم بعرض ملف وهمي على الشاشة بينما تعمل في الخلفية على نشر حمولات ضارة أخرى، مثل:

  • SECONDBEST (المعروف أيضًا باسم EMPIREPAST)
  • SPARK
  • CROOKBAG (أداة تحميل برمجية مكتوبة بلغة Golang)

أهداف الهجمات الحديثة

تم تنفيذ هذه الأنشطة التي نُسبت إلى UAC-0212 ضد شركات توريد في صربيا وجمهورية التشيك وأوكرانيا بين يوليو 2024 وفبراير 2025، حيث استهدفت أكثر من 24 شركة أوكرانية متخصصة في أنظمة التحكم الآلي والهندسة الكهربائية ونقل البضائع.

تم توثيق بعض هذه الهجمات من قبل StrikeReady Labs وشركة Microsoft، التي تتعقب هذه المجموعة تحت اسم BadPilot.

وسوم
محمد وهبى
محمد وهبى
المقالات: 106

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة