بالو ألتو نتوركس تكشف تفاصيل مجموعة القرصنة الالكترونية سوفاسي

بالو ألتو نتوركس تكشف تفاصيل مجموعة القرصنة الالكترونية سوفاسي

audai audai
تكنولوجيا
audai audai1 مارس 2018آخر تحديث : منذ 6 سنوات

كشفت اليوم بالو ألتو نتوركس، الشركة المتخصصة في تطوير الجيل التالي من الحلول الأمنية، تفاصيل عن مجموعة القرصنة الالكترونية الشهيرة سوفاسي التي تستهدف هيئات حكومية متعددة، إذ لا تزال هذه المجموعة التي تعرف أيضاً بأسماء متعددة أخرى مثل: إيه بي تي 28، فانسي بير، سترونتيوم، سيدنيت، فريق القيصر، باون ستورم تتمتع بنشاط كبير في عام 2018.
وتتولى الوحدة 42، التابعة لشركة بالو ألتو نتوركس، مراقبة هذه المجموعة بسبب طبيعتها الهجومية المستمرة على الصعيد العالمي في مختلف المجالات.
وفي الآونة الأخيرة، تم الكشف عن حملة أطلقت في مختلف وزارات الخارجية في جميع أنحاء العالم.
ومن اللافت، وجود جهدين متوازيين داخل الحملة، يقوم كل جهد باستخدام مجموعة أدوات مختلفة تماماً بخصوص الهجمات.
ولذا فإننا في هذه المدونة، سنناقش واحدة من الجهود التي استفادت من الأدوات التي باتت تعرف بارتباطها بمجموعة سوفاسي.
تفاصيل الهجوم
في بداية فبراير 2018، تم الكشف عن هجوم استهدف مؤسستين حكوميتين على صلة بالشؤون الخارجية.
غير أن هذه المؤسسات لم تكن متجانسة إقليمياً، وكان الهدف الوحيد المشترك فيما بينها هو وظائفها المؤسساتية.
وعلى وجه التحديد، تقع إحدى المؤسسات جغرافياً في أوروبا والأخرى في أمريكا الشمالية.
وقد استخدم المهاجم الأولي رسالة بريد إلكتروني للتصيد الاحتيالي كتب في سطر موضوعها “فعاليات الدفاع القادمة لفبراير 2018″ وعنوان المرسل الذي يدعي أنه من فعاليات الدفاع 360 التابعة لـ”جين” [email protected].
حيث تعتبر “جين باي إهسماركيت” Jane’s by IHSMarkit من الموردين المعروفين للمعلومات والتحليلات وترتبط في كثير من الأحيان بالدفاع والقطاع الحكومي.
وقد أظهرت تحليلات بيانات عنوان البريد الإلكتروني بأن عنوان المرسل مزيف وغير صادر عن إهسماركيت على الإطلاق.
ويدعي نص الإغراء في رسالة التصيد الاحتيالي أن المرفق عبارة عن تقويم للأحداث ذات الصلة بالمؤسسات المستهدفة ويتضمن تعليمات محددة بشأن الإجراءات التي يتعين على الضحية اتخاذها إذا ما واجهت “مشكلة في عرض المستند”.
وقد كان المرفق نفسه عبارة عن مستند أكسل مايكروسوفت يحتوي على برنامج نصي ماكرو ضار.
ويقدم المستند نفسه على أنه مستند ماكرو عادي لكن نصوصه مخفية ولن تظهر إلا بعد أن يقوم الضحية بتفعيل وحدات الماكرو.
ومن الجدير ذكره أن بإمكان الضحية الوصول إلى النص كاملاً حتى قبل تفعيل وحدات الماكرو.
إذ إنه تم تطبيق لون الخط الأبيض على النص لجر الضحية إلى تفعيل وحدات الماكرو للوصول إلى المحتوى. وبمجرد تفعيل الماكرو، يتم إظهار المحتوى عبر الكود التالي:
ActiveSheet.Range(“a1:c54”).Font.Color = vbBlack
يقوم الكود أعلاه بتغيير لون الخط إلى اللون الأسود ضمن نطاق الخلية المحدد ويعرض المحتوى للمستخدم. وعند المعاينة الأولية، يظهر المحتوى كما لو أنه المحتوى المرخص المتوقع، غير أن الفحص الدقيق للمستند يظهر عدداً من الآثار غير الطبيعية التي لم تكن موجودة في المستند المرخص.

رابط مختصر

عذراً التعليقات مغلقة