كشفت تقارير أمنية حديثة أن مجموعة التهديد الروسية الناطقة بالروسية والمعروفة باسم “Lunar Spider” – والتي يُعتقد أنها تقف وراء برمجيات IcedID وLatrodectus – تستخدم أسلوبًا متطورًا في الهندسة الاجتماعية يعتمد على اختبار CAPTCHA مزيف لتسليم برمجيات خبيثة إلى الضحايا.
ووفقًا لتقرير صادر عن NVISO Labs، فإن إطار العمل المزيف لـCAPTCHA يتضمن أمرًا لتشغيل PowerShell يقوم بتنزيل ملف MSI يحتوي على ملف Intel EXE، يُسجّل لاحقًا في مفتاح Run ضمن النظام، ويقوم بدوره بتنفيذ DLL خبيث يُعرف باسم Latrodectus V2. كما أوضح التقرير أن الحملة تتضمن نظامًا لمراقبة نقرات الضحايا وإرسال تقاريرها مباشرة إلى قناة على Telegram.
حملة اختراق طويلة متعددة الأدوات
في تقرير منفصل نشره The DFIR Report، نُسبت مجموعة “Lunar Spider” إلى اختراق استمر قرابة شهرين في مايو 2024، بدأ بملف JavaScript مموه في صورة نموذج ضريبي، والذي استخدم لتنفيذ إطار العمل Brute Ratel عبر مثبت MSI، بالتوازي مع نشر Latrodectus وCobalt Strike وباب خلفي مخصص مكتوب بلغة .NET.
وذكر التقرير أن نشاط المهاجمين استمر بشكل متقطع على مدار شهرين، مع اتصالات مستمرة بخوادم التحكم والسيطرة (C2)، إلى جانب عمليات استكشاف وتحرك جانبي داخل الشبكة، وانتهت العملية بتهريب البيانات الحساسة باستخدام أدوات Rclone وFTP بعد مرور عشرين يومًا من بدء الاختراق.
خلفية عن مجموعة Lunar Spider
تُعد مجموعة Lunar Spider، التي تُعرف أيضًا باسم Gold Swathmore، واحدة من أبرز المجموعات الإجرامية الروسية المتخصصة في تطوير وتوزيع البرمجيات الخبيثة، وقد ارتبطت سابقًا بنشر IcedID – وهو حصان طروادة مصرفي تطور لاحقًا ليُستخدم في هجمات الفدية وجمع بيانات الاعتماد. وتكشف هذه الحملة الجديدة عن تزايد اعتماد المجموعات الروسية على أساليب “ClickFix” التي تستغل تفاعل المستخدم كوسيلة لتجاوز الدفاعات الأمنية وتقنيات الحماية التقليدية.
