الإثنين , سبتمبر 23 2019
الرئيسية / أمن الانترنت / اكتشاف أنشطة جديدة تستغل مواقع «بلوج سبوت» و«بتلي» و«بايست بين» لشن هجمات على منطقة الشرق الأوسط
terror , cyber

اكتشاف أنشطة جديدة تستغل مواقع «بلوج سبوت» و«بتلي» و«بايست بين» لشن هجمات على منطقة الشرق الأوسط

دبي- بدأت شركة «بالو ألتو نتوركس» بتتبع حملة هجومية ظهر في البداية أنها تستهدف مؤسسات في إحدى دول الشرق الأوسط. لكن التحليل اللاحق كشف احتمال أن النشاط الهجومي هذا هو جزء من حملة أكبر بكثير لا تستهدف منطقة الشرق الأوسط وحدها بل الولايات المتحدة وأنحاء أوروبا وآسيا أيضا.

وكشف تحليل الشركة للمستندات الالكترونية المستخدمة في توصيل الفيروس أنها صممت لتحميل ماكرو برمجي خبيث عن بعد من خادم شبكي بانتهاج أسلوب حقن قوالب المستندات. ويستغل الماكرو النشرات في موقع التدوين «بلوج سبوت» BlogSpot  لاستجلاب نص برمجي يستخدم بدوره عدة نصوص برمجية ملصوقة على موقع «بايست بين» Pastebin  لغرض تنزيل نصوص برمجية إضافية، الأمر الذي يؤدي بالمحصلة إلى تلقيم حمولة برمجية من فيروس «ريفينج» لولوج الأجهزة عن بعد، وذلك بمؤازرة خادم تحكم وقيادة هجومي يحمل اسم نطاق مسجل لدى خدمةduckdns[.]org.

وأثناء بحث الشركة، وجدنا عدة مستندات توصيل تنتهج نفس الإجراءات التي تؤدي إلى تثبيت فيروس «ريفينج» للدخول عن بعد والمستضاف على موقع «بايست بين»، مما يشير إلى اتباع الجهة المعادية التكتيكات والأساليب والإجراءات ذاتها في كافة مراحل حملتها الهجومية

ذهبت بالو ألتو نتوركس في البداية إلى احتمال ارتباط هذا النشاط المعادي بجماعة «جورجون»، وارتكزت الفرضية هذه على المستوى العالي في التكتيكات والأساليب والإجراءات الهجومية، بما في ذلك استخدام فيروس «ريفينج» للدخول عن بعد. لكن االشركة لم تحدد بعد قواسم مشتركة مباشرة ومتطابقة تشير إلى جماعة «جورجون». لذلك لا نستطيع إسناد هذا النشاط الهجومي إلى جماعة «جورجون» بدرجة مناسبة من اليقين.

في ضوء ما ورد، أطلقت بالو ألتو نتوركس على النشاط الموصوف في هذه النشرة اسم حملة «أجّاه» Aggah  بالنظر إلى الاسم المستعار للجهة المعادية hagga، والذي استخدم لتوزيع البيانات المرسلة إلى خادم التحكم والقيادة الهجومي لفيروس «ريفينج»، فضلا عن كونه الاسم المستخدم في حسابات موقع «بايست بين» Pastebin لاستضافة الحمولة البرمجية للفيروس.

وقامت الشركة بتحليل مستند توصيل أُرسل بالبريد الالكتروني إلى منظمة في إحدى دول الشرق الأوسط بتاريخ 27 مارس  2019. وتبين أن منشأ البريد هو مؤسسة مالية كبرى في الدولة ذاتها، مع احتمال أنه قد تم انتحال صفتها. وحمل البريد موضوع “جرى قفل حسابكم”.

هذا وقد أرسل مستند التوصيل الأولي في البداية إلى إحدى المنظمات العاملة في دولة شرق أوسطية، وعلى وجه التحديد إلى منظمة تعمل في إحدى القطاعات الرئيسية في التعليم/الإعلام/التسويق.

وبعد أربعة أيام لاحقة، أي بتاريخ 31 مارس، لاحظت بالو ألتو نتوركس إرسال بريد التوصيل ذاته إلى منظمة مالية في بلد شرق أوسطي آخر. واكتشفنا لاحقًا أن مستند التوصيل هذا كان واحدًا من عدة مستندات منخرطة في حملة أكبر، وقد جرى إرسالها إلى منظمات في الولايات المتحدة وأوروبا وآسيا لاستهداف القطاع الرئيسي ذاته كما حصل في الشرق الأوسط، إضافة إلى قطاعات التكنولوجيا والتجزئة والتصنيع والحكومة والضيافة والطب وغيرها من الأعمال المهنية. ومن ناحية وظيفية، كانت المستندات ذات الصلة متشابهة فيما بينها، لذلك سنتجه إلى توصيف النموذج الأصلي الذي تم تحليله.

اقرا ايضا

K.S. Parag (FVC)

اف في سي FVC تستعرض خدمات البنية التحتية لأمن وتكنولوجيا المعلومات في جيتكس 2019

دبي، الإمارات العربية المتحدة – أعلنت شركة FVC، شركة توزيع القيمة المضافة الرائدة في منطقة …

تعليقات فيسبوك