ممثل التهديد المرتبط بروسيا، Gamaredon، والذي يُعتقد أنه شن هجومًا إلكترونيًا على منظمة حكومية غربية في أوكرانيا الشهر الماضي، هو عملية سريعة للغاية تجلب تركيزًا قويًا على استخدام تكتيكات لتجنب الاكتشاف، وفقًا لباحثي الأمن في Microsoft.
قال باحثون في مركز Microsoft Threat Intelligence (MSTIC) في منشور على مدونة اليوم، يبدو أن الهدف الرئيسي لجاماردون هو التجسس الإلكتروني cyber espionage.
في حين أن جاماريدون استهدف بشكل رئيسي المسؤولين والمنظمات الأوكرانية في الماضي، حاولت الجماعة هجومًا في 19 يناير كان هدفه المساس بـ "كيان" حكومي غربي في أوكرانيا، حسبما أفاد باحثون في منظمة Palo Alto Networks الوحدة 42 يوم الخميس. قال جهاز الأمن الأوكراني سابقًا إن قيادة جاماريدون تضم خمسة ضباط من جهاز الأمن الفيدرالي الروسي.
أصدر باحثو التهديدات في Microsoft نتائجهم الخاصة على Gamaredon في منشور المدونة اليوم، وكشفوا أن المجموعة تشارك بنشاط في نشاط إلكتروني ضار في أوكرانيا منذ أكتوبر 2021.
بينما أطلقت الوحدة 42 على مجموعة القراصنة اسم "Gamaredon"، تشير Microsoft إلى المجموعة بالاسم "Actinium".
"في الأشهر الستة الماضية، لاحظت MSTIC استهداف ACTINIUM لمنظمات في أوكرانيا تشمل الحكومة، والجيش، والمنظمات غير الحكومية (NGO)، والقضاء، وإنفاذ القانون، والمنظمات غير الهادفة للربح، بهدف أساسي هو إخفاء المعلومات الحساسة، والحفاظ على الوصول، وقال باحثو التهديد في المنشور "واستخدام الوصول المكتسب للانتقال بشكل جانبي إلى المنظمات ذات الصلة". "لاحظت MSTIC عمل ACTINIUM خارج شبه جزيرة القرم بأهداف تتفق مع التجسس الإلكتروني".
قال باحثون في مركز Microsoft Threat Intelligence (MSTIC) في منشور على مدونة اليوم، يبدو أن الهدف الرئيسي لجاماردون هو التجسس الإلكتروني cyber espionage.
في حين أن جاماريدون استهدف بشكل رئيسي المسؤولين والمنظمات الأوكرانية في الماضي، حاولت الجماعة هجومًا في 19 يناير كان هدفه المساس بـ "كيان" حكومي غربي في أوكرانيا، حسبما أفاد باحثون في منظمة Palo Alto Networks الوحدة 42 يوم الخميس. قال جهاز الأمن الأوكراني سابقًا إن قيادة جاماريدون تضم خمسة ضباط من جهاز الأمن الفيدرالي الروسي.
أصدر باحثو التهديدات في Microsoft نتائجهم الخاصة على Gamaredon في منشور المدونة اليوم، وكشفوا أن المجموعة تشارك بنشاط في نشاط إلكتروني ضار في أوكرانيا منذ أكتوبر 2021.
بينما أطلقت الوحدة 42 على مجموعة القراصنة اسم "Gamaredon"، تشير Microsoft إلى المجموعة بالاسم "Actinium".
"في الأشهر الستة الماضية، لاحظت MSTIC استهداف ACTINIUM لمنظمات في أوكرانيا تشمل الحكومة، والجيش، والمنظمات غير الحكومية (NGO)، والقضاء، وإنفاذ القانون، والمنظمات غير الهادفة للربح، بهدف أساسي هو إخفاء المعلومات الحساسة، والحفاظ على الوصول، وقال باحثو التهديد في المنشور "واستخدام الوصول المكتسب للانتقال بشكل جانبي إلى المنظمات ذات الصلة". "لاحظت MSTIC عمل ACTINIUM خارج شبه جزيرة القرم بأهداف تتفق مع التجسس الإلكتروني".
كشف التهرب Evading detection
قال الباحثون إن التكتيكات التي تستخدمها المجموعة بشكل متكرر تشمل رسائل التصيد الاحتيالي spear-phishing emails التي تحتوي على مرفقات ماكرو ضارة، مما يؤدي إلى نشر القوالب عن بعد remote templates. قالت Microsoft، من خلال التسبب في تحميل مستند لقالب مستند عن بعد برمز ضار - وحدات الماكرو - "يضمن تحميل المحتوى الضار فقط عند الحاجة (على سبيل المثال، عندما يفتح المستخدم المستند)".
قال الباحثون: "هذا يساعد المهاجمين على تجنب الاكتشافات الثابتة، على سبيل المثال، من خلال الأنظمة التي تفحص المرفقات بحثًا عن المحتوى الضار". "إن استضافة الماكرو الضار عن بُعد يسمح أيضًا للمهاجم بالتحكم في وقت وكيفية تسليم المكون الضار، مما يؤدي إلى تفادي الاكتشاف عن طريق منع الأنظمة الآلية من الحصول على المكون الضار وتحليله".
أفاد باحثو Microsoft أنهم لاحظوا العديد من عمليات التصيد الاحتيالي عبر البريد الإلكتروني التي يستخدمها Gamaredon، بما في ذلك تلك التي تنتحل شخصية المنظمات الشرعية، "باستخدام مرفقات حميدة لبناء الثقة والإلمام بالهدف".
فيما يتعلق بالبرامج الضارة، يستخدم Gamaredon مجموعة متنوعة من السلالات المختلفة - وفقًا لمايكروسوفت، فإن أكثرها "ثراءً بالميزات feature-rich" هو Pterodo. توفر عائلة البرامج الضارة Pterodo "القدرة على تجنب الكشف وإحباط التحليل" من خلال استخدام "خوارزمية تجزئة لوظيفة Windows الديناميكية لتعيين مكونات واجهة برمجة التطبيقات الضرورية، ونظام "عند الطلب on-demand" لفك تشفير البيانات المطلوبة وتحرير مساحة الكومة المخصصة عند قال الباحثون.
وفي الوقت نفسه، قالت مايكروسوفت إن البرمجيات الخبيثة PowerPunch التي تستخدمها المجموعة هي "تسلسل رشيق ومتطور من التعليمات البرمجية الضارة". تشمل عائلات البرامج الضارة الأخرى التي يستخدمها Gamaredon ObfuMerry و ObfuBerry و DilongTrash و DinoTrain و DesertDown.
تهديد رشيق جدا Very agile threat
قال باحثو مايكروسوفت إن Gamaredon "تطور بسرعة قدرات جديدة مبهمة وخفيفة الوزن لنشر برامج ضارة أكثر تقدمًا لاحقًا". "هذه أهداف سريعة الحركة مع درجة عالية من التباين".
تُظهر الحمولات التي حللها الباحثون تركيزًا كبيرًا على VBScript المبهمة (Visual Basic Script)، وهي لغة برمجة نصية من Microsoft. قال الباحثون: "كهجوم، هذا ليس أسلوبًا جديدًا، ومع ذلك يستمر في إثبات نجاحه حيث يجب أن تتكيف حلول مكافحة الفيروسات باستمرار لمواكبة تهديد رشيق للغاية".
أفادت الوحدة 42 يوم الخميس أن محاولة جاماريدون للهجوم على منظمة حكومية غربية في يناير تضمنت محاولة تصيد مستهدفة.
وبدلاً من إرسال برنامج تنزيل البرامج الضارة بالبريد الإلكتروني إلى هدفه، "استفاد جاماريدون من خدمة البحث عن الوظائف والتوظيف داخل أوكرانيا"، على حد قول الباحثين في الوحدة 42. ومن خلال القيام بذلك، بحث الممثلون عن وظيفة نشطة، وقاموا بتحميل برنامج التنزيل الخاص بهم كسيرة ذاتية وإرساله من خلال منصة البحث عن الوظائف إلى جهة حكومية غربية".
وقالت الوحدة 42 في منشورها إنه بسبب "الخطوات والدقة في التسليم المتضمنة في هذه الحملة، يبدو أن هذه ربما كانت محاولة محددة ومتعمدة من جانب جاماريدون لتسوية هذه المنظمة الحكومية الغربية".
قالت الوحدة 42 إنها لا تحدد أو تصف الكيان الحكومي الغربي الذي استهدفه جاماريدون.
لا علاقة لهجمات WhisperGate
جاءت محاولة Gamaredon للهجوم في 19 يناير بعد أقل من أسبوع من استهداف أكثر من 70 موقعًا إلكترونيًا للحكومة الأوكرانية بعائلة البرامج الضارة الجديدة WhisperGate.
ومع ذلك، قال باحثو Microsoft في منشور اليوم، إنه يبدو أن ممثل التهديد المسؤول عن تلك الهجمات منفصل عن Gamaredon. وقال الباحثون إن مركز مايكروسوفت لذكاء التهديدات "لم يعثر على أي مؤشرات تربط بين هذين الفاعلين أو عملياتهما".
أشارت وزارة الأمن الداخلي الأمريكية (DHS) الشهر الماضي إلى أنه من المحتمل أن تكون روسيا تتطلع إلى هجوم إلكتروني على البنية التحتية الأمريكية، وسط توترات بين الدول بشأن أوكرانيا.
