“Gamaredon” تستخدم طُعماً عسكرياً لنشر برنامج Remcos RAT في أوكرانيا

"Gamaredon" تستخدم طُعماً عسكرياً لنشر برنامج Remcos RAT في أوكرانيا
"Gamaredon" تستخدم طُعماً عسكرياً لنشر برنامج Remcos RAT في أوكرانيا
شارك هذا الخبر

 كشفت تقارير حديثة أن كيانات في أوكرانيا تعرضت لهجوم عبر حملة تصيد إلكتروني تهدف إلى نشر برنامج التحكم عن بعد Remcos RAT، وذلك باستخدام مستندات تحتوي على مصطلحات عسكرية باللغة الروسية كوسيلة للإغراء.

ووفقًا للباحث “جيلهيرمي فينيري” من شركة Cisco Talos:

“تستخدم أسماء الملفات كلمات روسية مرتبطة بتحركات القوات في أوكرانيا كطُعْم لإغراء الضحايا، حيث يقوم برنامج PowerShell بتنزيل المرحلة الثانية من خادم موجود في روسيا أو ألمانيا، وتحتوي هذه المرحلة على ملف ZIP يضم بابًا خلفيًا من نوع Remcos.”

من هي مجموعة Gamaredon؟

تُنسَب هذه الأنشطة بمجرد ثقة متوسطة إلى مجموعة قرصنة روسية تُعرف باسم Gamaredon، والتي تحمل أيضًا أسماء أخرى مثل:

  • Aqua Blizzard

  • Armageddon

  • Primitive Bear

  • UAC-0010

  • Trident Ursa

  • Shuckworm

  • Iron Tilden

  • UNC530

  • Winterflounder

تُعتقد أن هذه المجموعة على صلة بجهاز الأمن الفيدرالي الروسي (FSB)، وهي نشطة منذ عام 2013، وتشتهر بشنّ هجمات إلكترونية على أوكرانيا لأغراض التجسس وسرقة البيانات.

أسلوب الهجوم: تصيّد واحتيال مموه

تتميز الحملة الأخيرة باستخدام ملفات اختصار Windows (امتداد .LNK) مضغوطة داخل أرشيفات ZIP، وتُقدَّم كأنها مستندات أوفيس متعلقة بالحرب الروسية الأوكرانية، ما يدفع المستلمين لفتحها. ويُعتقد أن هذه الملفات تُرسل من خلال رسائل بريد إلكتروني احتيالية.

تتضمن ملفات LNK أكواد PowerShell تُستخدم لتنزيل المرحلة الثانية من الهجوم، بالإضافة إلى عرض ملفات خداعية لإخفاء النشاط الضار.

المرحلة الثانية: تحميل DLL خبيث

يتم تحميل ملف ZIP آخر يحتوي على ملف DLL ضار، يتم تشغيله عبر تقنية تُعرف باسم DLL Side-loading. يعمل هذا الملف كـ محمل لبرمجية Remcos، حيث يقوم بفك تشفير الحمولة النهائية وتشغيلها.

حملة تصيّد إلكتروني أخرى تستهدف متعاطفين مع أوكرانيا داخل روسيا

في سياق متصل، كشفت شركة Silent Push عن حملة تصيّد إلكتروني أخرى، تستهدف أفرادًا روسًا متعاطفين مع أوكرانيا، ويُرجح أن وراءها إما أجهزة الاستخبارات الروسية أو جهات تهديد موالية لروسيا.

تتكون هذه الحملة من أربع مجموعات تصيّد رئيسية تنتحل هويات منظمات مثل:

  • وكالة الاستخبارات المركزية الأمريكية (CIA)

  • فيلق المتطوعين الروس

  • Legion Liberty

  • خط المساعدة “أريد أن أعيش” المخصص لتلقي طلبات استسلام الجنود الروس في أوكرانيا

تُستضاف هذه الصفحات الاحتيالية على خوادم Bulletproof تديرها شركة Nybula LLC، وتُستخدم أدوات مثل نماذج Google Forms وبريد إلكتروني لجمع معلومات شخصية من الضحايا، تتضمن الآراء السياسية، والعادات، واللياقة البدنية.

“تشترك جميع الحملات التي رُصدت في سمات مشتركة وهدف واحد: جمع المعلومات الشخصية من زوار المواقع”، بحسب ما قالت Silent Push.

وسوم
محمد وهبى
محمد وهبى
المقالات: 107

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة