🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
11
mins read

كيف تستغل الجهات الفاعلة في مجال التهديد التعاون بين العلامات التجارية لاستهداف قنوات YouTube الشهيرة

يستهدف مجرمو الإنترنت بشكل متزايد منشئي YouTube من خلال استغلال عروض التعاون المزيفة للعلامة التجارية لتوزيع البرامج الضارة. تتضمن حملات التصيد الاحتيالي المعقدة هذه رسائل بريد إلكتروني مصممة بعناية تنتحل شخصية العلامات التجارية الموثوقة، وتقدم صفقات شراكة جذابة. غالبًا ما يتم تسليم البرامج الضارة، المتخفية في شكل مستندات شرعية مثل العقود أو المواد الترويجية، من خلال ملفات محمية بكلمة مرور مستضافة على منصات مثل OneDrive لتجنب الاكتشاف. بمجرد التنزيل، يمكن للبرامج الضارة سرقة المعلومات الحساسة، بما في ذلك بيانات اعتماد تسجيل الدخول والبيانات المالية، مع منح المهاجمين أيضًا الوصول عن بُعد إلى أنظمة الضحية. مع وضع منشئي المحتوى والمسوقين كأهداف أساسية، تؤكد هذه الحملة العالمية على أهمية التحقق من طلبات التعاون واعتماد تدابير الأمن السيبراني القوية للحماية من مثل هذه التهديدات.

مايانك ساهاريا
December 16, 2024
Green Alert
Last Update posted on
August 21, 2025
Table of Contents
Author(s)
No items found.

ملخص تنفيذي

يسلط هذا التقرير الضوء على حملة برامج ضارة معقدة تستهدف الشركات من خلال التصيد الاحتيالي عبر البريد الإلكتروني. يستفيد المهاجمون من الأسماء التجارية الموثوقة وعروض التعاون المهني كغطاء لتوزيع المرفقات الضارة. تم تصميم سطور موضوع البريد الإلكتروني ومحتوياته بعناية لتظهر كفرص عمل مشروعة، بما في ذلك العروض الترويجية ومقترحات الشراكة والتعاون التسويقي.

تشمل الخصائص الرئيسية للحملة ما يلي:

  • حمولة البريد الإلكتروني: يتم إخفاء البرامج الضارة داخل المرفقات مثل مستندات Word أو ملفات PDF أو ملفات Excel، وغالبًا ما تتنكر في صورة مواد ترويجية أو عقود أو مقترحات أعمال.
  • طريقة التوصيل: يتم إرسال رسائل البريد الإلكتروني المخادعة من عناوين بريد إلكتروني مزيفة أو مخترقة، مما يجعلها تبدو ذات مصداقية. يتم إغراء المستلمين بتنزيل الملفات المرفقة، معتقدين أنها عروض تجارية مشروعة.
  • سلوك البرامج الضارة: بمجرد فتح المرفق، تقوم البرامج الضارة بتثبيت نفسها على نظام الضحية. عادةً ما يتم تصميم هذه البرامج الضارة لسرقة البيانات الحساسة، بما في ذلك بيانات اعتماد تسجيل الدخول والمعلومات المالية والملكية الفكرية، أو لتوفير الوصول عن بُعد للمهاجم.
  • الجمهور المستهدف: تمثل الشركات والأفراد في التسويق والمبيعات والمناصب التنفيذية الأهداف الأساسية، نظرًا لميلهم إلى المشاركة في الترويج للعلامة التجارية والشراكات.

خريطة ذهنية لحملة البرامج الضارة

نظرة عامة:

كشف فريق الباحثين في مجال التهديدات في Cloudsek عن حملة برامج ضارة ينتحل فيها ممثلو التهديد شخصية العلامات التجارية الشهيرة ويقدم تعاونهم المهني كتمويه لتوزيع المرفقات الضارة. في البريد الإلكتروني أدناه، يقدم ممثل التهديد اقتراحًا للتعاون مع العلامة التجارية من، بما في ذلك هيكل التعويض بناءً على عدد المشتركين.

البريد الإلكتروني للتعاون مع العلامة التجارية

في نهاية الرسالة الإلكترونية، يتضمن ممثل التهديد تعليمات ورابط OneDrive للوصول إلى ملف مضغوط يحتوي على الاتفاقية والمواد الترويجية المؤمنة بكلمة المرور.

البريد الإلكتروني للتعاون مع العلامة التجارية

عندما نقرت ضحية YouTube على عنوان URL في البريد الإلكتروني، تم توجيهها إلى صفحة Drive. كشفت عمليات الفحص الإضافية عن البريد الإلكتروني لمالك Drive، «[email protected]»، وتاريخ الإنشاء في 08/15/2024 لحساب OneDrive.

لقطة من Onedrive تحتوي على ملف rar

يتم تضمين الحمولة الضارة داخل ملفين مضغوطين. يتم استخدام هذا التكتيك للتهرب من الاكتشاف من خلال عوامل تصفية الأمان الشائعة وحلول مكافحة الفيروسات. بمجرد استخراج الأرشيف، يتم نشر البرامج الضارة، مما قد يعرض نظام المستلم للخطر. بمعنى أصول الوسائط الكاملة Collection.rar > أرشيف العقود والاتفاقيات Collection.rar (محمي بكلمة مرور»). عند الاستخراج، يمكننا رؤية أربعة ملفات، حيث تعتبر شروط الاتفاقية الرقمية والمدفوعات الشاملة Evaluation.exe حمولة ضارة.

لقطة من العنصر المستخرج من أرشيف العقود والاتفاقيات Collection.rar

طريقة العمل:

تهيئة الهجوم:

  • محلل YouTube: يستخدم المهاجمون محللًا لجمع عناوين البريد الإلكتروني المجمعة من قنوات YouTube، واستهداف منشئي المحتوى والمؤسسات.
  • الأتمتة: يتم استخدام أدوات مثل Browser Automation لإرسال رسائل بريد إلكتروني تصيدية جماعية باستخدام خوادم SMTP (على سبيل المثال، Murena/onet.eu).

مرحلة التصيد الاحتيالي:

  • رسائل البريد الإلكتروني المخادعة: تم تصميم رسائل البريد الإلكتروني لتظهر كطلبات تعاون للعلامة التجارية.
  • المرفقات الضارة: يتم إرسال الضحايا إلى ملف مضغوط محمي بكلمة مرور، يتم استضافته على الخدمات السحابية مثل OneDrive.

تسليم البرامج الضارة:

  • تنزيل: يقوم الضحايا بتنزيل الملف المضغوط معتقدين أنه شرعي.
  • التنفيذ: بمجرد الاستخراج، يقوم الملف بنشر برنامج نصي ضار (webcams.pif) باستخدام التشغيل الآلي لـ AutoIT3 لتنفيذ البرامج الضارة.

عدوى النظام:

  • تنفيذ البرامج الضارة: تصيب الحمولة (على سبيل المثال، ملف EXE) جهاز الضحية.
  • تصفية البيانات: يتم نقل البيانات المسروقة مثل بيانات اعتماد المتصفح وملفات تعريف الارتباط وبيانات لوحة القصاصات إلى خادم الأوامر والتحكم (C2).

التحليل والإسناد:

بدأ تحقيقنا بتحليل عينة، حيث تم تصنيفها على أنها ضارة من قبل 15 من موردي برامج مكافحة الفيروسات على فيروس توتال. أظهر التحليل الإضافي أن العينة أسقطت ملفًا باسم webcam.pif (AutoIt3.exe). تمت مطابقة تجزئة هذا الملف، d8b7c7178fbdf169294e4e4f29dc582f89a5cf372e9da9215a082330dc12fd، تمت مطابقته مسبقًا بحث أجراه فريق Qualys، وربطه بحملة مرتبطة بـ Lumma Stealer.

نتيجة Virustotal لشروط الاتفاقية الرقمية والمدفوعات الشاملة Evaluation.exe

الواردات الرئيسية واستخداماتها الضارة المحتملة

  1. الوظائف المتعلقة بالحافظة (مشبوهة - T1115 | بيانات الحافظة)بعض النصوص
    • إغلاق الحافظة / افتح الحافظة / حافظة فارغة / تعيين بيانات الحافظةبعض النصوص
      • يتم استخدام هذه الوظائف لمعالجة الحافظة.
      • الاستخدام الضار: غالبًا ما تستخدم البرامج الضارة وظائف الحافظة لسرقة البيانات التي ينسخها/لصقها المستخدمون أو استبدالها (مثل كلمات المرور وعناوين محفظة العملات المشفرة).
      • ميتري أت&ك 1115: غالبًا ما تكون بيانات الحافظة هدفًا للبرامج الضارة لسرقة المعلومات التي يمكنها الوصول إلى محتويات الحافظة وتعديلها.
  2. وظائف الملفات والعمليات (من المحتمل أن تكون ضارة)بعض النصوص
    • اكتب ملفبعض النصوص
      • تستخدم لكتابة البيانات إلى ملف.
      • الاستخدام الضار: يمكن أن تستخدمه البرامج الضارة لكتابة حمولات ضارة أو إسقاط الملفات على النظام أو تسجيل البيانات المسروقة.
    • احصل على العملية الحالية / عملية مفتوحةبعض النصوص
      • ترتبط هذه الوظائف باسترجاع العمليات والتفاعل معها.
      • الاستخدام الضار: شائع في البرامج الضارة لحقن العمليات، حيث يتم حقن التعليمات البرمجية الضارة في عملية مشروعة لتجنب الاكتشاف.
      • ميتري أت&ك 1055: Process Injection هي تقنية تستخدمها البرامج الضارة لتشغيل التعليمات البرمجية الخاصة بها في مساحة العنوان الخاصة بعملية أخرى، مما يسمح لها بإخفاء آليات الأمان والتهرب منها.
  3. وظيفة نظام الملفاتبعض النصوص
    • احصل على موقع مجلد خاصبعض النصوص
      • يتم استخدام هذه الوظيفة لاسترداد مسار المجلدات الخاصة مثل سطح المكتب أو المستندات.
      • الاستخدام الضار: يمكن أن تستخدم البرامج الضارة هذا لتحديد الأدلة الخاصة بالمستخدم إما لإسقاط الملفات الضارة أو سرقة بيانات المستخدم.

القيادة والتحكم:

تتواصل البرامج الضارة مع خوادم Command and Control (C2) لتصفية البيانات المسروقة. في البداية، تحاول تقديم طلب DNS إلى «ukcmcsvdazgzaoh.ukcmcsvdazgzaoh»، على الرغم من أن هذه الخوادم لا يمكن الوصول إليها حاليًا. بعد ذلك، تتصل البرامج الضارة بعنوان IP 89.105.223.80 على المنفذ 27105 وتحل عنوان URL http://vm95039.vps.client-server.site:27105/.

اسم النطاق: UKCMCSVDAZAoh.ukcmcsvdazgzaoh

لقطة من البرامج الضارة التي تتصل بـ ukcmcsvdazgzaoh.ukcmcsvdazgzaoh

بروتوكول التحكم عن بعد: 89.105.223.80:27105

لقطة من البرامج الضارة التي تتصل بـ 89.105.223.80 على المنفذ 27105

حل المشكلة: http://vm95039.vps.client-server.site:27105/

تعمل البرامج الضارة التي تتصل بـ 89.105.223.80 على المنفذ 27105 على حل http://vm95039.vps.client-server.site:27105/

شجرة العمليات:

يبدأ Evaluation.exe الشامل لشروط الاتفاقية الرقمية والمدفوعات التنفيذ مباشرة في الدليل المؤقت وينسخ «Larger.bat» و «Webcamps.pif» إلى الدليل. قد تكون هذه محاولة لإنشاء برنامج نصي دفعي للتنفيذ الآلي للأوامر الإضافية، وغالبًا ما تستخدمه البرامج الضارة للاستمرار أو لتحفيز المزيد من الأنشطة الضارة.

يتحقق ملف Larger.bat المعتم من عمليات مكافحة الفيروسات، بما في ذلك wrsa.exe (Webroot) وopssvc.exe (Quick Heal) و( Quick Heal) و( Bitdefender) وغيرها باستخدام أوامر tasklist وfindstr. bdservicehost.exe غالبًا ما تقوم البرامج الضارة بإجراء عمليات الفحص هذه لتحديد برامج مكافحة الفيروسات وربما تعطيلها.

كود غامض لـ Larger.bat

كود غير غامض لـ Larger.bat

بعد التنفيذ، يتم تنزيل مترجم برمجة AutoIt شرعي (متخفي باسم «webcams.pif») لتشغيل برنامج نصي مشوش للغاية (يشار إليه باسم «V» في العينة التي تم تحليلها). يتم تجميع هذا البرنامج النصي من خلال ربط «أجزاء» مختلفة من البيانات من عدة ملفات أخرى، والتي يتم إنشاؤها من خلال سلسلة من عمليات النسخ والدمج التي يتم تنفيذها من موجه الأوامر.

سلسلة من عمليات النسخ والدمج المنفذة من البرنامج النصي لموجه الأوامر

الغرض من البرنامج النصي AutoIt هو نشر الملف الثنائي الشرعي RegAsm.exe، والذي يعمل كحاوية لحقن كود .NET الضار. AutoIt هي لغة تطوير يستخدمها مؤلفو البرامج الضارة بشكل متكرر لإنشاء البرامج الضارة والتشويش عليها.

شجرة المعالجة

تقوم البرامج الضارة بإسقاط ملفين webcams.pif و RegAsm.exe في المجلد المسمى «10183" من الدليل المؤقت.

أنشأت البرامج الضارة مجلدًا «10183" وأسقطت RegAsm.exe وWabcams.pif

https://www.virustotal.com/gui/file/d8b7c7178fbadbf169294e4f29dce582f89a5cf372e9da9215aa082330dc12fd/relations

النتيجة الإجمالية للفيروسات لwebcams.pif (Autoit3.exe)

أسقطت البرامج الضارة ملف larger.bat وأجزاء أخرى من الملفات في الدليل المؤقت.

البنية التحتية لممثل تهديد الصيد:

لقد أجرينا تحقيقًا أعمق في البنية التحتية لممثل التهديد واكتشفنا ملف RAR مضغوطًا ضارًا تم تحميله إلى OneDrive. كشف التحليل الإضافي عن البريد الإلكتروني للمالك، «[email protected]»، وأشار إلى أنه تم تحديث ملف RAR آخر مرة في 8/15/2024.

لقطة تحتوي على تفاصيل منشئ محرك أقراص واحد

تحليل سجل السارق:

ومن المثير للاهتمام أننا اكتشفنا أيضًا سجل سرقة من حساب البريد الإلكتروني لممثل التهديد، مما يعرض تفاصيل الحملة بأكملها. وشمل ذلك حسابات البريد الإلكتروني لـ SMTP (مثل onet.eu و murena.io)، وبروكسيات SOCKS5، وواجهات برمجة تطبيقات Google Cloud، ورسائل البريد الإلكتروني الخاصة بالضحايا وملفات تعريف الارتباط، بالإضافة إلى قوالب التصيد الاحتيالي.

يبدو أنه تم استخدام أداة متعددة التحليل لجمع البيانات من YouTube، مما سمح لممثل التهديد بالحصول على عدد كبير من عناوين البريد الإلكتروني المرتبطة بقنوات YouTube كجزء من جهود الاستطلاع الأولية.

تعرض اللقطة سجلات السارق للجهات الفاعلة في مجال التهديد التي تحتوي على أدوات التشغيل الآلي والنصوص والقوالب.

في ما يلي نموذج من سجل السارق المستخدم لانتحال هوية العلامات التجارية لإرسال رسائل بريد إلكتروني غير مرغوب فيها إلى المستخدمين.

القوالب المستخدمة من قبل ممثل التهديد لاستهداف العلامة التجارية

القوالب المستخدمة من قبل ممثل التهديد لاستهداف العلامة التجارية

تقوم الجهات الفاعلة في مجال التهديد بإنشاء قوالب لحسابات SMTP المزيفة أو حسابات البريد الإلكتروني المؤقتة لإرسال رسائل بريد إلكتروني تحتوي على مرفقات ضارة. تم تصميم هذه النماذج لانتحال شخصية العلامات التجارية الشرعية، وذلك باستخدام الشعارات والتنسيقات واللغة المألوفة لخداع المستلمين وزيادة احتمالية فتحهم للمرفقات الضارة.

القوالب المستخدمة من قبل ممثل التهديد لإنشاء بريد إلكتروني للتصيد الاحتيالي SMTP/Spear

تم إنشاء العديد من حسابات SMTP التي تنتحل شخصية العلاقات العامة والكيانات الإعلامية لاستهداف جماهير YouTube.

تُظهر اللقطة حسابات SMTP متعددة تنتحل شخصية العلاقات العامة والكيانات الإعلامية

من خلال ملف information.txt، وجدنا أن الجهة المسؤولة عن التهديد تستخدم أدوات التشغيل الآلي لإرسال رسائل البريد الإلكتروني المخادعة وغيرها من مهام التشغيل الآلي.

أدوات التشغيل الآلي لإرسال رسائل البريد الإلكتروني المخادعة ومهام الأتمتة الأخرى.

تمكنا من تسجيل الدخول إلى حساب Murena.io SMTP ووجدنا دليلًا على حملة واسعة النطاق، حيث أرسل ممثل التهديد حوالي 500-1000 رسالة بريد إلكتروني عشوائية من عنوان بريد إلكتروني واحد، منتحلًا شخصية العلامة التجارية الشهيرة. فيما يلي لقطة شاشة لإحدى رسائل البريد الإلكتروني المخادعة المرسلة إلى الضحايا.

كشف الوصول إلى أحد حسابات SMTP عن حملة تصيد واسعة النطاق تستهدف العلامة التجارية الشهيرة

تُظهر اللقطة حملة تصيد واسعة النطاق تستهدف علامة تجارية مشهورة

اكتشفنا أيضًا سجل جلسات تسجيل الدخول السابقة، والتي تضمنت تفاصيل مثل عنوان IP للجلسة والمنطقة ووقت تسجيل الدخول ونوع الجهاز.

كشفت جلسات تسجيل الدخول السابقة عن عنوان IP للجلسة والمنطقة ووقت تسجيل الدخول ونوع الجهاز.

تشير المعلومات التفصيلية لأحد عناوين IP إلى أنه ينتمي إلى ISP وقد يكون جهاز مستخدم مخترقًا يتم استغلاله بشكل متكرر من قبل الجهات الفاعلة في مجال التهديد. 91.94.88.209

تعرض اللقطة تفاصيل عنوان IP

رقم الهاتف المسجل على حساب بريد SMTP هو +48537977468، الذي يحتوي على رمز دولة بولندا. ومع ذلك، قد يكون رقم هاتف محمول مؤقت.

تُظهر اللقطة بريد SMTP المسجل برقم الهاتف +48537977468

لاحظ باحثونا اسم مستخدم «raez228" في سجل السارق الخاص بممثل التهديد.

اسم المستخدم «raez228" في سجل السارق الخاص بممثل التهديد

وجدنا تطابقًا لاسم المستخدم «raez228" على منصة ألعاب تسمى Twitch.tv، والتي تُستخدم لبث جلسات الألعاب الحية.

ملف تعريف تويتش: https://www.twitch.tv/raez228/about 

تم العثور على ملف تعريف Twitch باسم المستخدم «raez228"

النموذج الماسي لتحليل التسلل:

يسلط هذا النموذج الماسي الضوء على ممثل تهديد جيد التنسيق وواسع الحيلة يستفيد من الأدوات والتقنيات المتقدمة لاختراق حسابات وسائل التواصل الاجتماعي والمؤسسات على مستوى العالم.

البنية التحتية للنموذج الماسي للخصم

خصم

يستفيد الخصم من البرامج الضارة والتقنيات المتطورة للهجمات المستهدفة. تشير أفعالهم إلى مجموعة منظمة جيدًا مع إمكانية الوصول إلى أدوات وموارد متنوعة.

البنية التحتية

يستخدم الخصم بنية تحتية قوية لدعم حملاته، بما في ذلك:

  • أكثر من 340 خادم SMTP (على سبيل المثال، murena/onet.eu) لحملات التصيد الاحتيالي أو البريد العشوائي القائمة على البريد الإلكتروني.
  • أكثر من 46 بروتوكولًا لسطح المكتب البعيد (RDPs)، يُستخدم على الأرجح للوصول إلى الأنظمة المخترقة أو نشر البرامج الضارة.
  • أكثر من 26 بروكسي SOCKS5، مما يساعد على إخفاء هوية حركة المرور وتسهيل الاتصال الخفي باستخدام خوادم Command and Control (C2).
  • أدوات التشغيل الآلي مثل Youparser، استوديو التشغيل الآلي للمتصفح، و زينوبوكس لتبسيط العمليات مثل التصيد الاحتيالي وجمع بيانات الاعتماد وتوسيع نطاق الهجمات.

القدرة

يعرض الخصم القدرات الرئيسية التالية:

  • نشر البرامج الضارة: الاستفادة من البرامج الضارة للتسلل إلى الأنظمة المستهدفة والتحكم فيها.
  • الهندسة الاجتماعية: التلاعب بالأفراد للوصول غير المصرح به إلى الحسابات أو الأنظمة.
  • عمليات الاستحواذ على الحساب: الحصول على وصول غير مصرح به إلى حسابات الضحايا للاستغلال.
  • بيانات الاعتماد وحصاد ملفات تعريف الارتباط: سرقة معلومات تسجيل الدخول وملفات تعريف الارتباط الخاصة بالجلسة للوصول غير المصرح به إلى الحساب أو الحركة الجانبية.

الضحايا

  • الصناعة: التركيز على منصات وسائل التواصل الاجتماعي والمنظمات المرتبطة بها.
  • المنصات: يُعد YouTube هدفًا أساسيًا، مما يشير إلى نية استغلال قاعدة المستخدمين أو ميزات النظام الأساسي.
  • المنظمات: تم استهداف الكيانات، على الأرجح لأغراض التصيد الاحتيالي أو الاحتيال أو انتحال الشخصية.

الجغرافيا: تحتوي الحملة على عالمي التأثير، دون تركيز إقليمي محدد.

تكتيكات وتقنيات MITRE ATT&CK:

MITRE Tactics and Techniques

MITRE ATT&CK Framework: Tactics and Techniques

Tactic Techniques
Reconnaissance Gather Victim Identity Information (T1589.002), Gather Victim Network Information (T1590)
Resource Development Valid Accounts (T1078), Default Accounts (T1078.001), Email Addresses (T1589.001), Employee Names (T1589.003), DNS Server (T1589.004)
Initial Access Drive-by Compromise (T1189), Spearphishing Link (T1566.002)
Execution Windows Management Instrumentation (T1047), Scripting (T1059), Process Injection (T1055)
Persistence Scheduled Task/Job (T1053), DLL Side-Loading (T1574.002)
Privilege Escalation DLL Side-Loading (T1574.002), Process Injection (T1055), Logon Script (Windows) (T1037.001), Security Account Manager (T1003.003), NTDS (T1003.006)
Defense Evasion Process Injection (T1055), Masquerading (T1036), Virtualization/Sandbox Evasion (T1497), Disable or Modify Tools (T1562), Deobfuscate/Decode Files or Information (T1140)
Credential Access OS Credential Dumping (T1003), Security Account Manager (T1003.003)
Discovery Process Discovery (T1057), System Information Discovery (T1082), Internet Connection Discovery (T1016), File and Directory Discovery (T1083), Browser Information Discovery (T1217)
Lateral Movement Remote Services (T1021), SMB/Windows Admin Shares (T1021.002), Distributed Component Object Model (T1021.003)
Collection Data from Local System (T1005), Data from Removable Media (T1025), Input Capture (T1056), Keylogging (T1056.001), Data from Network Shared Drive (T1039)
Command and Control Application Layer Protocol (T1071)
Exfiltration Exfiltration Over C2 Channel (T1041)

مؤشرات التسوية (IOCs):

Hashes, URLs, and IPv4 Table

Hashes, URLs, and IPv4 Data

Hash's
564de0f055afa822add5e46761cba0c422f6a5e060ab7d2133599d8759598d50 Sha256
C49ef71c9ac46cbb859d171985a5bf69565517b6 Sha1
1cdd0761807ae68a8090e67a63529e07 MD5
d8b7c7178fbadbf169294e4f29dce582f89a5cf372e9da9215aa082330dc12fd Sha256
URL
ukCmCsVdaZGZaOh.ukCmCsVdaZGZaOh http://vm95039.vps.client-server.site:27105/
IPv4
89.105.223.80:27105 34.149.100.209:443
142.251.184.94:443 218.85.157.99:53
20.99.186.246:443 152.195.19.97:443

المراجع

Predict Cyber threats against your organization

Related Posts
No items found.

انضم إلى أكثر من 10,000 مشترك

تابع آخر الأخبار حول سلالات البرامج الضارة، وأساليب التصيد الاحتيالي،
مؤشرات التسوية وتسريب البيانات.

Take action now

Secure your organisation with our Award winning Products

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

استخبارات الخصم
Table of Content

ملخص تنفيذي

يسلط هذا التقرير الضوء على حملة برامج ضارة معقدة تستهدف الشركات من خلال التصيد الاحتيالي عبر البريد الإلكتروني. يستفيد المهاجمون من الأسماء التجارية الموثوقة وعروض التعاون المهني كغطاء لتوزيع المرفقات الضارة. تم تصميم سطور موضوع البريد الإلكتروني ومحتوياته بعناية لتظهر كفرص عمل مشروعة، بما في ذلك العروض الترويجية ومقترحات الشراكة والتعاون التسويقي.

تشمل الخصائص الرئيسية للحملة ما يلي:

  • حمولة البريد الإلكتروني: يتم إخفاء البرامج الضارة داخل المرفقات مثل مستندات Word أو ملفات PDF أو ملفات Excel، وغالبًا ما تتنكر في صورة مواد ترويجية أو عقود أو مقترحات أعمال.
  • طريقة التوصيل: يتم إرسال رسائل البريد الإلكتروني المخادعة من عناوين بريد إلكتروني مزيفة أو مخترقة، مما يجعلها تبدو ذات مصداقية. يتم إغراء المستلمين بتنزيل الملفات المرفقة، معتقدين أنها عروض تجارية مشروعة.
  • سلوك البرامج الضارة: بمجرد فتح المرفق، تقوم البرامج الضارة بتثبيت نفسها على نظام الضحية. عادةً ما يتم تصميم هذه البرامج الضارة لسرقة البيانات الحساسة، بما في ذلك بيانات اعتماد تسجيل الدخول والمعلومات المالية والملكية الفكرية، أو لتوفير الوصول عن بُعد للمهاجم.
  • الجمهور المستهدف: تمثل الشركات والأفراد في التسويق والمبيعات والمناصب التنفيذية الأهداف الأساسية، نظرًا لميلهم إلى المشاركة في الترويج للعلامة التجارية والشراكات.

خريطة ذهنية لحملة البرامج الضارة

نظرة عامة:

كشف فريق الباحثين في مجال التهديدات في Cloudsek عن حملة برامج ضارة ينتحل فيها ممثلو التهديد شخصية العلامات التجارية الشهيرة ويقدم تعاونهم المهني كتمويه لتوزيع المرفقات الضارة. في البريد الإلكتروني أدناه، يقدم ممثل التهديد اقتراحًا للتعاون مع العلامة التجارية من، بما في ذلك هيكل التعويض بناءً على عدد المشتركين.

البريد الإلكتروني للتعاون مع العلامة التجارية

في نهاية الرسالة الإلكترونية، يتضمن ممثل التهديد تعليمات ورابط OneDrive للوصول إلى ملف مضغوط يحتوي على الاتفاقية والمواد الترويجية المؤمنة بكلمة المرور.

البريد الإلكتروني للتعاون مع العلامة التجارية

عندما نقرت ضحية YouTube على عنوان URL في البريد الإلكتروني، تم توجيهها إلى صفحة Drive. كشفت عمليات الفحص الإضافية عن البريد الإلكتروني لمالك Drive، «[email protected]»، وتاريخ الإنشاء في 08/15/2024 لحساب OneDrive.

لقطة من Onedrive تحتوي على ملف rar

يتم تضمين الحمولة الضارة داخل ملفين مضغوطين. يتم استخدام هذا التكتيك للتهرب من الاكتشاف من خلال عوامل تصفية الأمان الشائعة وحلول مكافحة الفيروسات. بمجرد استخراج الأرشيف، يتم نشر البرامج الضارة، مما قد يعرض نظام المستلم للخطر. بمعنى أصول الوسائط الكاملة Collection.rar > أرشيف العقود والاتفاقيات Collection.rar (محمي بكلمة مرور»). عند الاستخراج، يمكننا رؤية أربعة ملفات، حيث تعتبر شروط الاتفاقية الرقمية والمدفوعات الشاملة Evaluation.exe حمولة ضارة.

لقطة من العنصر المستخرج من أرشيف العقود والاتفاقيات Collection.rar

طريقة العمل:

تهيئة الهجوم:

  • محلل YouTube: يستخدم المهاجمون محللًا لجمع عناوين البريد الإلكتروني المجمعة من قنوات YouTube، واستهداف منشئي المحتوى والمؤسسات.
  • الأتمتة: يتم استخدام أدوات مثل Browser Automation لإرسال رسائل بريد إلكتروني تصيدية جماعية باستخدام خوادم SMTP (على سبيل المثال، Murena/onet.eu).

مرحلة التصيد الاحتيالي:

  • رسائل البريد الإلكتروني المخادعة: تم تصميم رسائل البريد الإلكتروني لتظهر كطلبات تعاون للعلامة التجارية.
  • المرفقات الضارة: يتم إرسال الضحايا إلى ملف مضغوط محمي بكلمة مرور، يتم استضافته على الخدمات السحابية مثل OneDrive.

تسليم البرامج الضارة:

  • تنزيل: يقوم الضحايا بتنزيل الملف المضغوط معتقدين أنه شرعي.
  • التنفيذ: بمجرد الاستخراج، يقوم الملف بنشر برنامج نصي ضار (webcams.pif) باستخدام التشغيل الآلي لـ AutoIT3 لتنفيذ البرامج الضارة.

عدوى النظام:

  • تنفيذ البرامج الضارة: تصيب الحمولة (على سبيل المثال، ملف EXE) جهاز الضحية.
  • تصفية البيانات: يتم نقل البيانات المسروقة مثل بيانات اعتماد المتصفح وملفات تعريف الارتباط وبيانات لوحة القصاصات إلى خادم الأوامر والتحكم (C2).

التحليل والإسناد:

بدأ تحقيقنا بتحليل عينة، حيث تم تصنيفها على أنها ضارة من قبل 15 من موردي برامج مكافحة الفيروسات على فيروس توتال. أظهر التحليل الإضافي أن العينة أسقطت ملفًا باسم webcam.pif (AutoIt3.exe). تمت مطابقة تجزئة هذا الملف، d8b7c7178fbdf169294e4e4f29dc582f89a5cf372e9da9215a082330dc12fd، تمت مطابقته مسبقًا بحث أجراه فريق Qualys، وربطه بحملة مرتبطة بـ Lumma Stealer.

نتيجة Virustotal لشروط الاتفاقية الرقمية والمدفوعات الشاملة Evaluation.exe

الواردات الرئيسية واستخداماتها الضارة المحتملة

  1. الوظائف المتعلقة بالحافظة (مشبوهة - T1115 | بيانات الحافظة)بعض النصوص
    • إغلاق الحافظة / افتح الحافظة / حافظة فارغة / تعيين بيانات الحافظةبعض النصوص
      • يتم استخدام هذه الوظائف لمعالجة الحافظة.
      • الاستخدام الضار: غالبًا ما تستخدم البرامج الضارة وظائف الحافظة لسرقة البيانات التي ينسخها/لصقها المستخدمون أو استبدالها (مثل كلمات المرور وعناوين محفظة العملات المشفرة).
      • ميتري أت&ك 1115: غالبًا ما تكون بيانات الحافظة هدفًا للبرامج الضارة لسرقة المعلومات التي يمكنها الوصول إلى محتويات الحافظة وتعديلها.
  2. وظائف الملفات والعمليات (من المحتمل أن تكون ضارة)بعض النصوص
    • اكتب ملفبعض النصوص
      • تستخدم لكتابة البيانات إلى ملف.
      • الاستخدام الضار: يمكن أن تستخدمه البرامج الضارة لكتابة حمولات ضارة أو إسقاط الملفات على النظام أو تسجيل البيانات المسروقة.
    • احصل على العملية الحالية / عملية مفتوحةبعض النصوص
      • ترتبط هذه الوظائف باسترجاع العمليات والتفاعل معها.
      • الاستخدام الضار: شائع في البرامج الضارة لحقن العمليات، حيث يتم حقن التعليمات البرمجية الضارة في عملية مشروعة لتجنب الاكتشاف.
      • ميتري أت&ك 1055: Process Injection هي تقنية تستخدمها البرامج الضارة لتشغيل التعليمات البرمجية الخاصة بها في مساحة العنوان الخاصة بعملية أخرى، مما يسمح لها بإخفاء آليات الأمان والتهرب منها.
  3. وظيفة نظام الملفاتبعض النصوص
    • احصل على موقع مجلد خاصبعض النصوص
      • يتم استخدام هذه الوظيفة لاسترداد مسار المجلدات الخاصة مثل سطح المكتب أو المستندات.
      • الاستخدام الضار: يمكن أن تستخدم البرامج الضارة هذا لتحديد الأدلة الخاصة بالمستخدم إما لإسقاط الملفات الضارة أو سرقة بيانات المستخدم.

القيادة والتحكم:

تتواصل البرامج الضارة مع خوادم Command and Control (C2) لتصفية البيانات المسروقة. في البداية، تحاول تقديم طلب DNS إلى «ukcmcsvdazgzaoh.ukcmcsvdazgzaoh»، على الرغم من أن هذه الخوادم لا يمكن الوصول إليها حاليًا. بعد ذلك، تتصل البرامج الضارة بعنوان IP 89.105.223.80 على المنفذ 27105 وتحل عنوان URL http://vm95039.vps.client-server.site:27105/.

اسم النطاق: UKCMCSVDAZAoh.ukcmcsvdazgzaoh

لقطة من البرامج الضارة التي تتصل بـ ukcmcsvdazgzaoh.ukcmcsvdazgzaoh

بروتوكول التحكم عن بعد: 89.105.223.80:27105

لقطة من البرامج الضارة التي تتصل بـ 89.105.223.80 على المنفذ 27105

حل المشكلة: http://vm95039.vps.client-server.site:27105/

تعمل البرامج الضارة التي تتصل بـ 89.105.223.80 على المنفذ 27105 على حل http://vm95039.vps.client-server.site:27105/

شجرة العمليات:

يبدأ Evaluation.exe الشامل لشروط الاتفاقية الرقمية والمدفوعات التنفيذ مباشرة في الدليل المؤقت وينسخ «Larger.bat» و «Webcamps.pif» إلى الدليل. قد تكون هذه محاولة لإنشاء برنامج نصي دفعي للتنفيذ الآلي للأوامر الإضافية، وغالبًا ما تستخدمه البرامج الضارة للاستمرار أو لتحفيز المزيد من الأنشطة الضارة.

يتحقق ملف Larger.bat المعتم من عمليات مكافحة الفيروسات، بما في ذلك wrsa.exe (Webroot) وopssvc.exe (Quick Heal) و( Quick Heal) و( Bitdefender) وغيرها باستخدام أوامر tasklist وfindstr. bdservicehost.exe غالبًا ما تقوم البرامج الضارة بإجراء عمليات الفحص هذه لتحديد برامج مكافحة الفيروسات وربما تعطيلها.

كود غامض لـ Larger.bat

كود غير غامض لـ Larger.bat

بعد التنفيذ، يتم تنزيل مترجم برمجة AutoIt شرعي (متخفي باسم «webcams.pif») لتشغيل برنامج نصي مشوش للغاية (يشار إليه باسم «V» في العينة التي تم تحليلها). يتم تجميع هذا البرنامج النصي من خلال ربط «أجزاء» مختلفة من البيانات من عدة ملفات أخرى، والتي يتم إنشاؤها من خلال سلسلة من عمليات النسخ والدمج التي يتم تنفيذها من موجه الأوامر.

سلسلة من عمليات النسخ والدمج المنفذة من البرنامج النصي لموجه الأوامر

الغرض من البرنامج النصي AutoIt هو نشر الملف الثنائي الشرعي RegAsm.exe، والذي يعمل كحاوية لحقن كود .NET الضار. AutoIt هي لغة تطوير يستخدمها مؤلفو البرامج الضارة بشكل متكرر لإنشاء البرامج الضارة والتشويش عليها.

شجرة المعالجة

تقوم البرامج الضارة بإسقاط ملفين webcams.pif و RegAsm.exe في المجلد المسمى «10183" من الدليل المؤقت.

أنشأت البرامج الضارة مجلدًا «10183" وأسقطت RegAsm.exe وWabcams.pif

https://www.virustotal.com/gui/file/d8b7c7178fbadbf169294e4f29dce582f89a5cf372e9da9215aa082330dc12fd/relations

النتيجة الإجمالية للفيروسات لwebcams.pif (Autoit3.exe)

أسقطت البرامج الضارة ملف larger.bat وأجزاء أخرى من الملفات في الدليل المؤقت.

البنية التحتية لممثل تهديد الصيد:

لقد أجرينا تحقيقًا أعمق في البنية التحتية لممثل التهديد واكتشفنا ملف RAR مضغوطًا ضارًا تم تحميله إلى OneDrive. كشف التحليل الإضافي عن البريد الإلكتروني للمالك، «[email protected]»، وأشار إلى أنه تم تحديث ملف RAR آخر مرة في 8/15/2024.

لقطة تحتوي على تفاصيل منشئ محرك أقراص واحد

تحليل سجل السارق:

ومن المثير للاهتمام أننا اكتشفنا أيضًا سجل سرقة من حساب البريد الإلكتروني لممثل التهديد، مما يعرض تفاصيل الحملة بأكملها. وشمل ذلك حسابات البريد الإلكتروني لـ SMTP (مثل onet.eu و murena.io)، وبروكسيات SOCKS5، وواجهات برمجة تطبيقات Google Cloud، ورسائل البريد الإلكتروني الخاصة بالضحايا وملفات تعريف الارتباط، بالإضافة إلى قوالب التصيد الاحتيالي.

يبدو أنه تم استخدام أداة متعددة التحليل لجمع البيانات من YouTube، مما سمح لممثل التهديد بالحصول على عدد كبير من عناوين البريد الإلكتروني المرتبطة بقنوات YouTube كجزء من جهود الاستطلاع الأولية.

تعرض اللقطة سجلات السارق للجهات الفاعلة في مجال التهديد التي تحتوي على أدوات التشغيل الآلي والنصوص والقوالب.

في ما يلي نموذج من سجل السارق المستخدم لانتحال هوية العلامات التجارية لإرسال رسائل بريد إلكتروني غير مرغوب فيها إلى المستخدمين.

القوالب المستخدمة من قبل ممثل التهديد لاستهداف العلامة التجارية

القوالب المستخدمة من قبل ممثل التهديد لاستهداف العلامة التجارية

تقوم الجهات الفاعلة في مجال التهديد بإنشاء قوالب لحسابات SMTP المزيفة أو حسابات البريد الإلكتروني المؤقتة لإرسال رسائل بريد إلكتروني تحتوي على مرفقات ضارة. تم تصميم هذه النماذج لانتحال شخصية العلامات التجارية الشرعية، وذلك باستخدام الشعارات والتنسيقات واللغة المألوفة لخداع المستلمين وزيادة احتمالية فتحهم للمرفقات الضارة.

القوالب المستخدمة من قبل ممثل التهديد لإنشاء بريد إلكتروني للتصيد الاحتيالي SMTP/Spear

تم إنشاء العديد من حسابات SMTP التي تنتحل شخصية العلاقات العامة والكيانات الإعلامية لاستهداف جماهير YouTube.

تُظهر اللقطة حسابات SMTP متعددة تنتحل شخصية العلاقات العامة والكيانات الإعلامية

من خلال ملف information.txt، وجدنا أن الجهة المسؤولة عن التهديد تستخدم أدوات التشغيل الآلي لإرسال رسائل البريد الإلكتروني المخادعة وغيرها من مهام التشغيل الآلي.

أدوات التشغيل الآلي لإرسال رسائل البريد الإلكتروني المخادعة ومهام الأتمتة الأخرى.

تمكنا من تسجيل الدخول إلى حساب Murena.io SMTP ووجدنا دليلًا على حملة واسعة النطاق، حيث أرسل ممثل التهديد حوالي 500-1000 رسالة بريد إلكتروني عشوائية من عنوان بريد إلكتروني واحد، منتحلًا شخصية العلامة التجارية الشهيرة. فيما يلي لقطة شاشة لإحدى رسائل البريد الإلكتروني المخادعة المرسلة إلى الضحايا.

كشف الوصول إلى أحد حسابات SMTP عن حملة تصيد واسعة النطاق تستهدف العلامة التجارية الشهيرة

تُظهر اللقطة حملة تصيد واسعة النطاق تستهدف علامة تجارية مشهورة

اكتشفنا أيضًا سجل جلسات تسجيل الدخول السابقة، والتي تضمنت تفاصيل مثل عنوان IP للجلسة والمنطقة ووقت تسجيل الدخول ونوع الجهاز.

كشفت جلسات تسجيل الدخول السابقة عن عنوان IP للجلسة والمنطقة ووقت تسجيل الدخول ونوع الجهاز.

تشير المعلومات التفصيلية لأحد عناوين IP إلى أنه ينتمي إلى ISP وقد يكون جهاز مستخدم مخترقًا يتم استغلاله بشكل متكرر من قبل الجهات الفاعلة في مجال التهديد. 91.94.88.209

تعرض اللقطة تفاصيل عنوان IP

رقم الهاتف المسجل على حساب بريد SMTP هو +48537977468، الذي يحتوي على رمز دولة بولندا. ومع ذلك، قد يكون رقم هاتف محمول مؤقت.

تُظهر اللقطة بريد SMTP المسجل برقم الهاتف +48537977468

لاحظ باحثونا اسم مستخدم «raez228" في سجل السارق الخاص بممثل التهديد.

اسم المستخدم «raez228" في سجل السارق الخاص بممثل التهديد

وجدنا تطابقًا لاسم المستخدم «raez228" على منصة ألعاب تسمى Twitch.tv، والتي تُستخدم لبث جلسات الألعاب الحية.

ملف تعريف تويتش: https://www.twitch.tv/raez228/about 

تم العثور على ملف تعريف Twitch باسم المستخدم «raez228"

النموذج الماسي لتحليل التسلل:

يسلط هذا النموذج الماسي الضوء على ممثل تهديد جيد التنسيق وواسع الحيلة يستفيد من الأدوات والتقنيات المتقدمة لاختراق حسابات وسائل التواصل الاجتماعي والمؤسسات على مستوى العالم.

البنية التحتية للنموذج الماسي للخصم

خصم

يستفيد الخصم من البرامج الضارة والتقنيات المتطورة للهجمات المستهدفة. تشير أفعالهم إلى مجموعة منظمة جيدًا مع إمكانية الوصول إلى أدوات وموارد متنوعة.

البنية التحتية

يستخدم الخصم بنية تحتية قوية لدعم حملاته، بما في ذلك:

  • أكثر من 340 خادم SMTP (على سبيل المثال، murena/onet.eu) لحملات التصيد الاحتيالي أو البريد العشوائي القائمة على البريد الإلكتروني.
  • أكثر من 46 بروتوكولًا لسطح المكتب البعيد (RDPs)، يُستخدم على الأرجح للوصول إلى الأنظمة المخترقة أو نشر البرامج الضارة.
  • أكثر من 26 بروكسي SOCKS5، مما يساعد على إخفاء هوية حركة المرور وتسهيل الاتصال الخفي باستخدام خوادم Command and Control (C2).
  • أدوات التشغيل الآلي مثل Youparser، استوديو التشغيل الآلي للمتصفح، و زينوبوكس لتبسيط العمليات مثل التصيد الاحتيالي وجمع بيانات الاعتماد وتوسيع نطاق الهجمات.

القدرة

يعرض الخصم القدرات الرئيسية التالية:

  • نشر البرامج الضارة: الاستفادة من البرامج الضارة للتسلل إلى الأنظمة المستهدفة والتحكم فيها.
  • الهندسة الاجتماعية: التلاعب بالأفراد للوصول غير المصرح به إلى الحسابات أو الأنظمة.
  • عمليات الاستحواذ على الحساب: الحصول على وصول غير مصرح به إلى حسابات الضحايا للاستغلال.
  • بيانات الاعتماد وحصاد ملفات تعريف الارتباط: سرقة معلومات تسجيل الدخول وملفات تعريف الارتباط الخاصة بالجلسة للوصول غير المصرح به إلى الحساب أو الحركة الجانبية.

الضحايا

  • الصناعة: التركيز على منصات وسائل التواصل الاجتماعي والمنظمات المرتبطة بها.
  • المنصات: يُعد YouTube هدفًا أساسيًا، مما يشير إلى نية استغلال قاعدة المستخدمين أو ميزات النظام الأساسي.
  • المنظمات: تم استهداف الكيانات، على الأرجح لأغراض التصيد الاحتيالي أو الاحتيال أو انتحال الشخصية.

الجغرافيا: تحتوي الحملة على عالمي التأثير، دون تركيز إقليمي محدد.

تكتيكات وتقنيات MITRE ATT&CK:

MITRE Tactics and Techniques

MITRE ATT&CK Framework: Tactics and Techniques

Tactic Techniques
Reconnaissance Gather Victim Identity Information (T1589.002), Gather Victim Network Information (T1590)
Resource Development Valid Accounts (T1078), Default Accounts (T1078.001), Email Addresses (T1589.001), Employee Names (T1589.003), DNS Server (T1589.004)
Initial Access Drive-by Compromise (T1189), Spearphishing Link (T1566.002)
Execution Windows Management Instrumentation (T1047), Scripting (T1059), Process Injection (T1055)
Persistence Scheduled Task/Job (T1053), DLL Side-Loading (T1574.002)
Privilege Escalation DLL Side-Loading (T1574.002), Process Injection (T1055), Logon Script (Windows) (T1037.001), Security Account Manager (T1003.003), NTDS (T1003.006)
Defense Evasion Process Injection (T1055), Masquerading (T1036), Virtualization/Sandbox Evasion (T1497), Disable or Modify Tools (T1562), Deobfuscate/Decode Files or Information (T1140)
Credential Access OS Credential Dumping (T1003), Security Account Manager (T1003.003)
Discovery Process Discovery (T1057), System Information Discovery (T1082), Internet Connection Discovery (T1016), File and Directory Discovery (T1083), Browser Information Discovery (T1217)
Lateral Movement Remote Services (T1021), SMB/Windows Admin Shares (T1021.002), Distributed Component Object Model (T1021.003)
Collection Data from Local System (T1005), Data from Removable Media (T1025), Input Capture (T1056), Keylogging (T1056.001), Data from Network Shared Drive (T1039)
Command and Control Application Layer Protocol (T1071)
Exfiltration Exfiltration Over C2 Channel (T1041)

مؤشرات التسوية (IOCs):

Hashes, URLs, and IPv4 Table

Hashes, URLs, and IPv4 Data

Hash's
564de0f055afa822add5e46761cba0c422f6a5e060ab7d2133599d8759598d50 Sha256
C49ef71c9ac46cbb859d171985a5bf69565517b6 Sha1
1cdd0761807ae68a8090e67a63529e07 MD5
d8b7c7178fbadbf169294e4f29dce582f89a5cf372e9da9215aa082330dc12fd Sha256
URL
ukCmCsVdaZGZaOh.ukCmCsVdaZGZaOh http://vm95039.vps.client-server.site:27105/
IPv4
89.105.223.80:27105 34.149.100.209:443
142.251.184.94:443 218.85.157.99:53
20.99.186.246:443 152.195.19.97:443

المراجع

مايانك ساهاريا

Related Blogs