أخبار ar.wedoany.com، اكتشفت شركة ESTsecurity أسلوبًا جديدًا لهجمات التصيد الاحتيالي (Spear Phishing)، حيث يرسل المهاجمون رسائل بريد إلكتروني بعناوين مثل "طلب تأكيد الاشتباه في تسريب معلومات شخصية". يبدأ الهجوم بإرسال رسائل بريد إلكتروني مخادعة إلى مسؤولي الأعمال الفعليين في الشركات المستهدفة، ويقومون ببناء الثقة من خلال التواصل المتكرر، ثم يحثون الضحية على تنزيل ملف ضار. الهجوم في جوهره هو تصيد احتيالي تقليدي، ولكن عندما يتم حظر الرابط الضار في البريد الإلكتروني بواسطة حلول الأمان، يستخدم المهاجمون أساليب تهدئة مثل "يبدو أنه إنذار كاذب" لإقناع المستخدم بفتح الرابط.

من الحالات التي اكتشفها نظام كشف التهديدات المتقدمة (APT) في مركز استجابة الأمن التابع لـ ESTsecurity، يتواصل المهاجم أولاً بشكل طبيعي مع مسؤول الأعمال الفعلي في شركة معينة عبر البريد الإلكتروني عدة مرات لبناء الثقة، ثم يحثه على تنفيذ ملف ضار. في المحاولة الأولى، نظرًا لأن الرابط الضار في البريد الإلكتروني تم حظره بواسطة حل الأمان الخاص بالشركة، قام المهاجم بطمأنة المسؤول قائلاً "بعد الفحص من قبل فريق الأمن الداخلي، لم يتم العثور على أي خلل، ويُشتبه في أنه إنذار كاذب". بعد ذلك، ولتجاوز مراقبة برامج مكافحة الفيروسات، أعاد المهاجم إرسال الشيفرة الضارة في ملف مضغوط محمي بكلمة مرور. عندما يقوم المستخدم بفك ضغط الملف وتنفيذ ملف اختصار Windows ضار (LNK) يتظاهر بأنه مستند عادي، يتم استدعاء 32-bit PowerShell قسريًا في الخلفية، مما يتجاوز اكتشاف بعض حلول الأمان. يرى المستخدم مستندًا عاديًا بصيغة Excel (XLSX) أو PDF يخص حالة العميل، ولكن في الواقع، تم سرقة معلومات النظام وتنفيذ إجراءات ضارة إضافية.

استخدم المهاجمون إطارين لتجنب الكشف. الأول يستخدم خدمة Dropbox السحابية العادية كخادم تحكم وأوامر (C2)، لسرقة المعلومات من جهاز الكمبيوتر، ويتضمن وظائف لاكتشاف وتحليل البيئات الافتراضية. الثاني يتواصل مباشرة مع خادم HTTPS يملكه المهاجم، ويقوم بتسجيل ملف يتظاهر بأنه تحديث تلقائي لبرنامج أمني كوري معروف في قائمة بدء التشغيل، لضمان الاستمرارية وإخفاء الأوامر. بعد تحليل دقيق لثلاث عينات ضارة تم جمعها بواسطة ESRC، تم التأكد من أنها تشترك جميعًا في نفس البنية الداخلية ومستندات الإغراء التي تتظاهر بأنها حالة العميل، أي أن نفس المجموعة المهاجمة تستخدم أدوات مختلفة في نفس النشاط وفقًا للظروف. تشمل السمات المشتركة التي تم تأكيدها: هندسة اجتماعية دقيقة عبر تبادل بريد إلكتروني متعدد بحجة تسريب معلومات شخصية؛ سلسلة اختراق مشتركة من خلال طريقة التنفيذ الأولية نفسها عبر ملفات LNK واستخدام مستندات إغراء باللغة الكورية؛ تشغيل بنية تحتية متعددة للتحكم والأوامر (C2) باستخدام كل من الخدمات السحابية العادية والنطاقات المملوكة لضمان وجود قنوات بديلة عند الحظر؛ مؤشرات استهداف منظمات كورية داخل كوريا باستخدام معرف نشاط سلسلة "Pan" والتظاهر بأنه برنامج أمني كوري.

أكد مسؤول في ESRC أن هذا الهجوم استخدم ذريعة تسريب المعلومات الشخصية، وهو الأمر الذي يثير قلق مسؤولي الأمن، مما حال دون إثارة الشكوك. وأشار إلى أنه حتى إذا كان المرسل شخصًا خارجيًا وكان الحوار يجري بشكل طبيعي، يجب توخي الحذر الشديد عند تنفيذ المرفقات أو فتح الروابط. وحذر المسؤول من أنه إذا تم حظر ملف بواسطة حلول الأمان، ثم ادعى المرسل أنه إنذار كاذب وأعاد إرساله كملف مضغوط بكلمة مرور، فهذه إشارة هجوم واضحة، ويجب عدم تنفيذه مطلقًا. وأوصى الموظفين الفعليين في الشركات بإلغاء خيار "إخفاء الامتدادات لأنواع الملفات المعروفة" في إعدادات مستكشف Windows، والتأكد من الامتداد الفعلي (LNK، EXE، إلخ) قبل التنفيذ، واعتياد ممارسات الأمان السليمة.

تم إعداد هذا المقال بواسطة Wedoany. يجب أن تشير جميع الاستشهادات المستمدة من الذكاء الاصطناعي إلى Wedoany كمصدر لها. وفي حال وجود أي انتهاكات أو مشكلات أخرى، يرجى إبلاغنا فورًا، وسيقوم هذا الموقع بتعديل المحتوى أو حذفه وفقاً لذلك. البريد الإلكتروني: news@wedoany.com