مركز الأمن السيبراني للأبحاث والدراسات CCRS https://ccforrs.com Wed, 09 Apr 2025 22:56:02 +0000 ar hourly 1 https://wordpress.org/?v=6.8.1 مركز الأمن السيبراني للأبحاث والدراسات CCRS false مجموعة UAC-0226 تنشر برمجية GIFTEDCROOK الخبيثة لسرقة البيانات عبر ملفات Excel ضارة تستهدف أوكرانيا https://ccforrs.com/%d9%85%d8%ac%d9%85%d9%88%d8%b9%d8%a9-uac-0226-%d8%aa%d9%86%d8%b4%d8%b1-%d8%a8%d8%b1%d9%85%d8%ac%d9%8a%d8%a9-giftedcrook-%d8%a7%d9%84%d8%ae%d8%a8%d9%8a%d8%ab%d8%a9-%d9%84%d8%b3%d8%b1%d9%82%d8%a9-%d8%a7/ https://ccforrs.com/%d9%85%d8%ac%d9%85%d9%88%d8%b9%d8%a9-uac-0226-%d8%aa%d9%86%d8%b4%d8%b1-%d8%a8%d8%b1%d9%85%d8%ac%d9%8a%d8%a9-giftedcrook-%d8%a7%d9%84%d8%ae%d8%a8%d9%8a%d8%ab%d8%a9-%d9%84%d8%b3%d8%b1%d9%82%d8%a9-%d8%a7/#respond Thu, 10 Apr 2025 12:36:20 +0000 https://ccforrs.com/?p=11641 كشفت فريق الاستجابة لحالات الطوارئ الحاسوبية الأوكراني (CERT-UA) عن موجة جديدة من الهجمات السيبرانية تستهدف مؤسسات أوكرانية باستخدام برمجية خبيثة لسرقة المعلومات.

من تستهدف هذه الحملة؟

ووفقًا لـ CERT-UA، فإن الهجمات تركز على:

  • التشكيلات العسكرية

  • وكالات إنفاذ القانون

  • الهيئات الحكومية المحلية
    خصوصًا تلك الواقعة قرب الحدود الشرقية لأوكرانيا.

كيف يتم تنفيذ الهجوم؟

يعتمد المهاجمون على إرسال رسائل تصيد إلكتروني (Phishing Emails) تحتوي على ملفات Excel مفعّلة بالماكرو (امتداد XLSM). وعند فتحها، يتم:

  • تشغيل سكريبت PowerShell مأخوذ من مستودع GitHub باسم “PSSW100AVB” لفتح اتصال عكسي (Reverse Shell)

  • تنزيل وتنفيذ برمجية تجسس غير موثقة سابقًا تُدعى GIFTEDCROOK

قالت CERT-UA:

“تحمل أسماء الملفات وموضوعات الرسائل الإلكترونية إشارات إلى مواضيع حساسة مثل إزالة الألغام، والغرامات الإدارية، وتصنيع الطائرات المسيرة، وتعويضات الممتلكات المدمرة.”

تحتوي جداول Excel هذه على شيفرة خبيثة تقوم، بمجرد تفعيل الماكرو، بتحويل الملف إلى برمجية خبيثة تُنفذ دون علم المستخدم.

ما هي GIFTEDCROOK؟

برمجية GIFTEDCROOK مكتوبة بلغة C/C++ وتقوم بسرقة بيانات حساسة من متصفحات الإنترنت مثل:

  • Google Chrome

  • Microsoft Edge

  • Mozilla Firefox

وتتضمن البيانات المسروقة:

  • ملفات تعريف الارتباط (Cookies)

  • سجل التصفح

  • بيانات المصادقة (مثل كلمات المرور المحفوظة)

تقنيات التمويه والاختراق

يتم إرسال الرسائل الإلكترونية من حسابات بريد إلكتروني مخترقة، غالبًا عبر الواجهة السحابية لمزودات البريد، لإضفاء مصداقية زائفة على الرسائل وإقناع الضحايا بفتح الملفات المرفقة.

وقد نسب CERT-UA هذا النشاط إلى مجموعة التهديد UAC-0226، دون الإشارة إلى دولة راعية معينة.

حملة تصيّد أخرى مرتبطة بجهات روسية (UNC5837)

في سياق موازٍ، تم ربط جهة تجسس يُشتبه بارتباطها بروسيا تُعرف باسم UNC5837 بحملة تصيد استهدفت كيانات حكومية وعسكرية أوروبية في أكتوبر 2024.

ذكرت مجموعة استخبارات التهديدات من Google (GTIG):

“استخدمت الحملة ملفات .RDP موقّعة كمرفقات لتأسيس اتصالات ببروتوكول سطح المكتب البعيد (RDP) من أجهزة الضحايا.”

لكن الحملة كانت مميزة لكونها لا تركز على الجلسات التفاعلية فقط، بل استغلت تقنيات مثل:

  • إعادة توجيه الموارد (ربط أنظمة ملفات الضحايا بخوادم المهاجمين)

  • تطبيقات RDP البعيدة (RemoteApps) لتشغيل تطبيقات يتحكم بها المهاجمون مباشرة على أجهزة الضحايا.

وقد تم توثيق هذه الحملة مسبقًا من قبل:

  • CERT-UA

  • Amazon Web Services

  • Microsoft (أكتوبر 2024)

  • Trend Micro (ديسمبر 2024)

يُتابع CERT-UA النشاط تحت الاسم UAC-0215، بينما أرجعت جهات أخرى الهجوم إلى مجموعة APT29 التابعة للدولة الروسية.

أدوات مفتوحة المصدر واستغلال البيانات

تميزت الهجمات أيضًا باستخدام أداة PyRDP مفتوحة المصدر لأتمتة أنشطة ضارة مثل:

  • سرقة الملفات

  • التقاط محتوى الحافظة (Clipboard)

  • استخراج كلمات المرور وبيانات البيئة (Environment Variables)

قالت GTIG:

“يبدو أن الهدف الأساسي لمجموعة UNC5837 هو التجسس وسرقة الملفات.”

حملة تصيّد باستخدام CAPTCHA وهمي وتوسعة متصفح خبيثة

في الأشهر الأخيرة، لوحظت أيضًا حملات تصيّد إلكتروني تستخدم CAPTCHA مزيفة وواجهة Cloudflare Turnstile لنشر أداة Legion Loader (المعروفة أيضًا باسم Satacom)، والتي بدورها تُستخدم لتثبيت توسعة متصفح Chromium ضارة باسم “Save to Google Drive”.

وفقًا لمختبرات التهديد في Netskope:

“تبدأ العدوى عبر تنزيل تلقائي عند بحث الضحية عن مستند معين، ليُعاد توجيهها إلى موقع خبيث يعرض CAPTCHA مزيفة.”

آلية الهجوم:

  1. يتم خداع الضحية للنقر على CAPTCHA

  2. يعاد توجيهه إلى CAPTCHA ثانية عبر Cloudflare

  3. ثم إلى صفحة تعليمات وهمية لتنزيل المستند

  4. يتم تثبيت ملف MSI يحتوي على Legion Loader

  5. يتم تشغيل سكريبتات PowerShell لتنزيل وتفعيل توسعة المتصفح الضارة

تعمل البرمجية على:

  • إيقاف جلسة المتصفح مؤقتًا لتفعيل التوسعة

  • تفعيل وضع المطور في المتصفح

  • إعادة تشغيل المتصفح
    وذلك لبدء سرقة مجموعة واسعة من المعلومات الحساسة وإرسالها إلى المهاجمين.

]]> https://ccforrs.com/%d9%85%d8%ac%d9%85%d9%88%d8%b9%d8%a9-uac-0226-%d8%aa%d9%86%d8%b4%d8%b1-%d8%a8%d8%b1%d9%85%d8%ac%d9%8a%d8%a9-giftedcrook-%d8%a7%d9%84%d8%ae%d8%a8%d9%8a%d8%ab%d8%a9-%d9%84%d8%b3%d8%b1%d9%82%d8%a9-%d8%a7/feed/ 0 هجوم متعدد الأشكال يستنسخ إضافات المتصفح لسرقة البيانات https://ccforrs.com/%d9%87%d8%ac%d9%88%d9%85-%d9%85%d8%aa%d8%b9%d8%af%d8%af-%d8%a7%d9%84%d8%a3%d8%b4%d9%83%d8%a7%d9%84-%d9%8a%d8%b3%d8%aa%d9%86%d8%b3%d8%ae-%d8%a5%d8%b6%d8%a7%d9%81%d8%a7%d8%aa-%d8%a7%d9%84%d9%85%d8%aa/ https://ccforrs.com/%d9%87%d8%ac%d9%88%d9%85-%d9%85%d8%aa%d8%b9%d8%af%d8%af-%d8%a7%d9%84%d8%a3%d8%b4%d9%83%d8%a7%d9%84-%d9%8a%d8%b3%d8%aa%d9%86%d8%b3%d8%ae-%d8%a5%d8%b6%d8%a7%d9%81%d8%a7%d8%aa-%d8%a7%d9%84%d9%85%d8%aa/#respond Wed, 12 Mar 2025 06:59:27 +0000 https://ccforrs.com/?p=11004 كشف باحثون في مجال الأمن السيبراني عن تقنية جديدة تسمح لإضافة متصفح ضارة بانتحال صفة أي إضافة مثبتة على المتصفح. وتُعرف هذه التقنية باسم الهجوم متعدد الأشكال (Polymorphic Attack)، حيث تقوم الإضافة الضارة بإنشاء نسخة طبق الأصل من أيقونة الإضافة المستهدفة ونوافذها الـHTML وتدفقات عملها، بل وتعطيل الإضافة الشرعية مؤقتًا، مما يجعل الضحايا يعتقدون أنهم يقدمون بيانات الاعتماد الخاصة بهم إلى الإضافة الحقيقية.

وقالت شركة SquareX في تقرير نُشر الأسبوع الماضي: “إن الإضافات متعددة الأشكال تخلق نسخة مثالية من أيقونة الإضافة المستهدفة، وتقوم بتعطيل الإضافة الشرعية مؤقتًا، مما يجعل الضحايا يثقون بأنهم يتفاعلون مع الإضافة الأصلية”.

كيف يعمل الهجوم؟

تعتمد هذه التقنية على حقيقة أن المستخدمين عادةً ما يثبتون الإضافات في شريط أدوات المتصفح. في سيناريو هجوم افتراضي، يمكن للمهاجمين نشر إضافة متعددة الأشكال على متجر Chrome Web Store (أو أي سوق للإضافات) وإخفائها كأداة مساعدة.

على الرغم من أن الإضافة توفر الوظيفة المعلن عنها لتجنب إثارة الشكوك، فإنها تنشط الميزات الضارة في الخلفية عن طريق مسح موارد الويب المرتبطة بإضافات مستهدفة محددة باستخدام تقنية تسمى ضرب موارد الويب (Web Resource Hitting).

بمجرد تحديد الإضافة المستهدفة، ينتقل الهجوم إلى المرحلة التالية، حيث تتحول الإضافة الضارة إلى نسخة طبق الأصل من الإضافة الشرعية. يتم ذلك عن طريق تغيير أيقونة الإضافة الضارة لتطابق أيقونة الإضافة المستهدفة وتعطيل الإضافة الشرعية مؤقتًا باستخدام واجهة برمجة التطبيقات chrome.management، مما يؤدي إلى إزالتها من شريط الأدوات.

لماذا يعتبر هذا الهجوم خطيرًا؟

قالت SquareX: “هجوم الإضافة متعددة الأشكال قوي للغاية لأنه يستغل ميل البشر إلى الاعتماد على الإشارات البصرية كتأكيد. في هذه الحالة، يتم استخدام أيقونات الإضافات في الشريط المثبت لإعلام المستخدمين بالأدوات التي يتفاعلون معها”.

هجمات أخرى مرتبطة

جاء هذا الكشف بعد شهر واحد من إعلان الشركة عن طريقة هجوم أخرى تُعرف باسم Browser Syncjacking، والتي تتيح السيطرة على جهاز الضحية من خلال إضافة متصفح تبدو غير ضارة.

 

]]> https://ccforrs.com/%d9%87%d8%ac%d9%88%d9%85-%d9%85%d8%aa%d8%b9%d8%af%d8%af-%d8%a7%d9%84%d8%a3%d8%b4%d9%83%d8%a7%d9%84-%d9%8a%d8%b3%d8%aa%d9%86%d8%b3%d8%ae-%d8%a5%d8%b6%d8%a7%d9%81%d8%a7%d8%aa-%d8%a7%d9%84%d9%85%d8%aa/feed/ 0