Microsoft tracked a system sending a million malware emails a month. Here's what it discovered
نشرت Microsoft حسابًا شاملاً عن تحقيقها في الأنظمة المستخدمة لإطلاق ملايين رسائل البريد الإلكتروني التي توزع ما لا يقل عن سبعة أنواع مختلفة من البرامج الضارة. تحدد Microsoft عنصرين من البنية التحتية الجديدة للبريد الإلكتروني التي اكتشفتها في مارس وأبريل، ثم تتبعها لبقية العام. يطلق على الجزء الأول StrangeU لأنه غالبًا ما يستخدم كلمة "غريب Strange" في المجالات الجديدة. استخدم الجزء الثاني خوارزمية إنشاء المجال، وهي تقنية لإنشاء أسماء المجال بشكل عشوائي، وبالتالي أطلق عليها اسم RandomU.
قال باحثون أمنيون من فريق Microsoft 365 Defender Intelligence Threat Intelligence: "تزامن ظهور هذه البنية التحتية في مارس مع تعطيل شبكة Necurs الروبوتية مما أدى إلى تقليص الخدمة".
كانت Necurs عبارة عن روبوتات كبيرة وطويلة الأمد لها تاريخ في تقديم حصان طروادة المصرفي Dridex، ولكن تم استخدامه أيضًا لتوزيع برامج الفدية وأحصنة طروادة للوصول عن بُعد وأحصنة طروادة لسرقة المعلومات. Necurs هو مثال لعملية تأجير تؤجر سعة التسليم كخدمة، بينما تسمح للمهاجمين بالتركيز على إنتاج البرامج الضارة.
تعلق Microsoft: "يبدو أن البنية التحتية StrangeU و RandomU تملأ فجوة الخدمة التي أحدثها اضطراب Necurs، مما يثبت أن المهاجمين لديهم دوافع عالية للتكيف بسرعة مع الانقطاعات المؤقتة لعملياتهم".
استهدفت البنية التحتية الجديدة للبريد الإلكتروني في الغالب الأجهزة في الولايات المتحدة وأستراليا والمملكة المتحدة في توزيع الجملة والخدمات المالية وصناعات الرعاية الصحية.
في البداية، تم استخدامه لتوزيع البرامج الضارة للسلع، ولكن في سبتمبر بدأ مشغلو Dridex و Trickbot في استخدام البنية التحتية أيضًا. تمت إزالة Trickbot في أكتوبر الماضي، لكنه ظهر مرة أخرى في يناير واكتسب مكونًا جديدًا يقوم بمسح الشبكات المحلية بحثًا عن منافذ مفتوحة قيّمة يمكن مهاجمتها لاحقًا.
تتضمن بعض الحملات البارزة التي تستخدم StrangeU و RandomU منذ مارس ما يلي:
- حملات التصيد بالرمح الكورية التي قدمت Makop ransomware في أبريل ويونيو
إشعارات الطوارئ التي وزعت Mondfoxia في أبريل
- إغراء Black Lives Matter الذي أوصل Trickbot في يونيو
- تم تسليم حملة Dridex من خلال StrangeU والبنية التحتية الأخرى من يونيو إلى يوليو
- حملة Dofoil (SmokeLoader) في أغسطس
- أنشطة Emotet و Dridex في سبتمبر وأكتوبر ونوفمبر
في 10 يونيو، أبلغت شركة Fortinet الأمنية عن حملة بريد إلكتروني جماعية تحتوي على مرفقات كلمات ضارة ورؤوس موضوعات يبدو أنها تستهدف الأشخاص المتعاطفين مع حركة BLM. يُزعم أن رسائل البريد الإلكتروني تهدف إلى الحصول على تعليقات على الحركة. كما تلاحظ Microsoft، حملت حملات متعددة في ذلك الشهر برنامج Trickbot. تشير Microsoft إلى أن هذه الحملات استهدفت في الغالب حسابات البريد الإلكتروني للشركات في الولايات المتحدة وكندا وتجنب حسابات المستهلكين. كانت الحملات أيضًا صغيرة ومصممة لتجنب الاكتشاف.
استخدمت حملات Dridex من أواخر يونيو وحتى يوليو StrangeU وحسابات البريد الإلكتروني للشركات المخترقة لتسليم مستندات Excel مع وحدات ماكرو ضارة.
قال باحثون أمنيون من فريق Microsoft 365 Defender Intelligence Threat Intelligence: "تزامن ظهور هذه البنية التحتية في مارس مع تعطيل شبكة Necurs الروبوتية مما أدى إلى تقليص الخدمة".
كانت Necurs عبارة عن روبوتات كبيرة وطويلة الأمد لها تاريخ في تقديم حصان طروادة المصرفي Dridex، ولكن تم استخدامه أيضًا لتوزيع برامج الفدية وأحصنة طروادة للوصول عن بُعد وأحصنة طروادة لسرقة المعلومات. Necurs هو مثال لعملية تأجير تؤجر سعة التسليم كخدمة، بينما تسمح للمهاجمين بالتركيز على إنتاج البرامج الضارة.
تعلق Microsoft: "يبدو أن البنية التحتية StrangeU و RandomU تملأ فجوة الخدمة التي أحدثها اضطراب Necurs، مما يثبت أن المهاجمين لديهم دوافع عالية للتكيف بسرعة مع الانقطاعات المؤقتة لعملياتهم".
استهدفت البنية التحتية الجديدة للبريد الإلكتروني في الغالب الأجهزة في الولايات المتحدة وأستراليا والمملكة المتحدة في توزيع الجملة والخدمات المالية وصناعات الرعاية الصحية.
في البداية، تم استخدامه لتوزيع البرامج الضارة للسلع، ولكن في سبتمبر بدأ مشغلو Dridex و Trickbot في استخدام البنية التحتية أيضًا. تمت إزالة Trickbot في أكتوبر الماضي، لكنه ظهر مرة أخرى في يناير واكتسب مكونًا جديدًا يقوم بمسح الشبكات المحلية بحثًا عن منافذ مفتوحة قيّمة يمكن مهاجمتها لاحقًا.
تتضمن بعض الحملات البارزة التي تستخدم StrangeU و RandomU منذ مارس ما يلي:
- حملات التصيد بالرمح الكورية التي قدمت Makop ransomware في أبريل ويونيو
إشعارات الطوارئ التي وزعت Mondfoxia في أبريل
- إغراء Black Lives Matter الذي أوصل Trickbot في يونيو
- تم تسليم حملة Dridex من خلال StrangeU والبنية التحتية الأخرى من يونيو إلى يوليو
- حملة Dofoil (SmokeLoader) في أغسطس
- أنشطة Emotet و Dridex في سبتمبر وأكتوبر ونوفمبر
في 10 يونيو، أبلغت شركة Fortinet الأمنية عن حملة بريد إلكتروني جماعية تحتوي على مرفقات كلمات ضارة ورؤوس موضوعات يبدو أنها تستهدف الأشخاص المتعاطفين مع حركة BLM. يُزعم أن رسائل البريد الإلكتروني تهدف إلى الحصول على تعليقات على الحركة. كما تلاحظ Microsoft، حملت حملات متعددة في ذلك الشهر برنامج Trickbot. تشير Microsoft إلى أن هذه الحملات استهدفت في الغالب حسابات البريد الإلكتروني للشركات في الولايات المتحدة وكندا وتجنب حسابات المستهلكين. كانت الحملات أيضًا صغيرة ومصممة لتجنب الاكتشاف.
استخدمت حملات Dridex من أواخر يونيو وحتى يوليو StrangeU وحسابات البريد الإلكتروني للشركات المخترقة لتسليم مستندات Excel مع وحدات ماكرو ضارة.
على الرغم من كل هذا التعقيد، تلاحظ Microsoft أن العديد من الأساسيات لا تزال كما هي.
"مع استمرار تزايد الهجمات في نمطية، فإن التكتيكات التي يستخدمها المهاجمون لتسليم البريد الإلكتروني للتصيد الاحتيالي، والحصول على وصول مبدئي على الأنظمة، والتحرك أفقياً ستصبح أكثر تنوعًا باستمرار. يوضح هذا البحث أنه على الرغم من هذه التباينات وزيادة المرونة التي قام بها المهاجمون ولا تزال التكتيكات والأدوات الأساسية التي يستخدمونها محدودة النطاق وتعتمد بشكل متكرر على وحدات الماكرو الخبيثة المألوفة والإغراءات وتكتيكات الإرسال".
"مع استمرار تزايد الهجمات في نمطية، فإن التكتيكات التي يستخدمها المهاجمون لتسليم البريد الإلكتروني للتصيد الاحتيالي، والحصول على وصول مبدئي على الأنظمة، والتحرك أفقياً ستصبح أكثر تنوعًا باستمرار. يوضح هذا البحث أنه على الرغم من هذه التباينات وزيادة المرونة التي قام بها المهاجمون ولا تزال التكتيكات والأدوات الأساسية التي يستخدمونها محدودة النطاق وتعتمد بشكل متكرر على وحدات الماكرو الخبيثة المألوفة والإغراءات وتكتيكات الإرسال".
