حملة التصيد Spear-phishing
توقفت حملة Spear-phishing المرتبطة بمهاجمي SolarWinds بعد الاستيلاء على المجال
اتهم APT29 بخرق حساب بريد إلكتروني للوكالة الأمريكية للتنمية الدولية
يحظر مصادرة المجال حملة التصيد بالرمح المرتبطة بمهاجمي SolarWinds
استولت السلطات الأمريكية على مركزي قيادة وتحكم مرتبطين بمجموعة حديثة من رسائل التصيد الاحتيالي التي نُشرت كرسائل من وكالة التنمية الدولية (USAID).
يأتي الإجراء القضائي والإنفاذ الصادر عن وزارة العدل الأمريكية في أعقاب تحذير من Microsoft بشأن نشاط خبيث من قبل ما يسمى بمجموعة Nobelium – وهي نفس المجموعة من التجسس الإلكترونيين الذين تم إلقاء اللوم عليهم في عملية اختراق SolarWinds سيئة السمعة في العام الماضي.
ذات صلة تم الكشف عن عيوب جديدة متعددة في برنامج SolarWinds بعد أسابيع قليلة من هجوم سلسلة التوريد رفيع المستوى
نوبليوم – الذي تم تتبعه باسم APT29 والمعروف أكثر باسم “Cozy Bear” – يُشتبه في كونه وحدة من المخابرات الروسية المرتبطة بجهاز المخابرات الخارجية (SVR) والمرتبط بجهاز الاستخبارات الأجنبية (FSB).
يهدف إجراء فرض مصادرة نطاق الويب إلى تضييق الخناق على الحملة الأخيرة للمجموعة.
حساب مخترق
في 25 مايو أو حوله ، أساءت الأطراف الخبيثة استخدام حساب مخترق للوكالة الأمريكية للتنمية الدولية في خدمة بريدية جماعية شرعية لإطلاق حملة تصيد احتيالي تم إرسالها إلى “الآلاف من حسابات البريد الإلكتروني في أكثر من مائة كيان”.
يُزعم أن هذه الرسائل الخبيثة تحتوي على “تنبيه خاص” من الوكالة الأمريكية للتنمية الدولية والذي تم تصميمه لخداع الضحايا المحتملين للنقر على رابط وزيارة موقع ضار محمّل ببرامج ضارة.
تابع آخر أخبار الهجمات الإلكترونية
ووفقًا لبيان صادر عن وزارة العدل الأمريكية بشأن هذه القضية ، فإن “الاستيلاء على المجالين كان يهدف إلى تعطيل متابعة الجهات الفاعلة الخبيثة لاستغلال الضحايا ، فضلاً عن تحديد الضحايا المعرضين للخطر”.
“ومع ذلك ، قد يكون الفاعلون قد نشروا وصولاً خلفيًا إضافيًا بين وقت التسويات الأولية ونوبات الأسبوع الماضي.”
كان الهجوم موجهًا في النهاية نحو زرع باب خلفي على أجهزة الكمبيوتر وإصابة الضحايا بأداة هجوم Cobalt Strike.
الغوص العميق دليل للتصيد بالرمح – كيفية الحماية من الهجمات المستهدفة
كما هو مفصل في منشور مدونة Microsoft ، كان الهجوم قيد التطوير لأسابيع قبل إرسال البريد الجماعي.
على سبيل المثال ، في مارس ، حاول المهاجمون اختراق الأنظمة من خلال ملف HTML مرفق برسالة بريد إلكتروني للتصيد بالرمح ، كما توضح Microsoft:
عند فتحه بواسطة المستخدم المستهدف ، كتب JavaScript داخل HTML ملف ISO على القرص وشجع الهدف على فتحه ، مما أدى إلى تحميل ملف ISO مثل محرك أقراص خارجي أو شبكة.
من هنا ، سينفذ ملف الاختصار DLL مصاحبًا ، مما سيؤدي إلى تنفيذ Cobalt Strike Beacon على النظام.