شفاه فضفاضة على الانترنت تغرق استهداف الاختراق الحكومات والسفارات

الكلمة EnlargeFrank لينديك / فليكر

أعطى الباحثون الأمن درجات مختلطة لاكتشافها مؤخرا حملة القرصنة التي تستهدف السلطات المالية الحكومية و embassies. من ناحية ، استخدمت الهجمات وضعت بعناية وثائق شرك لخداع الأهداف المحددة بعناية في تثبيت البرمجيات الخبيثة التي يمكن أن تحصل على السيطرة الكاملة على أجهزة الكمبيوتر. من ناحية أخرى ، المطور تشارك في العملية في بعض الأحيان ناقش العمل في منتديات عامة.

كانت الحملة نشطة منذ عام 2018 على الأقل عند إرسالها مستندات Excel التي تدعي أنها تحتوي على بيانات أمريكية سرية للغاية للأشخاص داخل الحكومات والسفارات في أوروبا ، شركة الأمن تحقق ذكرت نقطة في منشور نشر الاثنين. وحدات الماكرو في الوثائق سوف ترسل لقطة شاشة وتفاصيل المستخدم للكمبيوتر الشخصي المستهدف إلى خادم التحكم ثم قم بتثبيت إصدار ضار من برنامج TeamViewer الذي ادعى لتقديم وظائف إضافية. سوف طروادة ثم السيطرة الكاملة على الكمبيوتر المصاب.

يسمح خادم التحكم الآمن المضمون للباحثين عن Check نقطة لرؤية لقطات الشاشة التي تم تحميلها من المصاب بشكل دوري أجهزة الكمبيوتر ، على الأقل حتى تم تأمين الخادم. أكثر من كان للأهداف صلة بالمالية العامة والمسؤولين الحكوميين من سلطات الإيرادات. باستخدام الصور اعترضت و بيانات القياس عن بعد ، قام الباحثون في Check نقطة بتجميع قائمة جزئية من البلدان التي توجد فيها الأهداف. هي تتضمن:

  • نيبال
  • غيانا
  • كينيا
  • إيطاليا
  • ليبيريا
  • برمودا
  • لبنان

    تغيرت الحمولة في مستندات Excel ثلاث مرات على الأقل على مدار آخر سنة أو أكثر. ما كان نقطة تفتيش وجدت ، إذن ، كانت حملة قرصنة ، على الرغم من خادم التحكم التي جعلت في البداية المتاحة التي تم جمعها لقطات ، كان ومع ذلك نجحت في إصابة أجهزة الكمبيوتر المستخدمة في الحكومات والسفارات.

    أدخل EvaPiks

    ولكن سرعان ما وجد باحثو Check Point شيئًا آخر – عبر الإنترنت شخص لديه علاقة مثبتة بالعملية. عن طريق لقب EvaPiks ، الشخص الناطق باللغة الروسية على عدة مناسبات نشر الرمز والتقنيات المستخدمة في العملية.

    EnlargeCheck Point

    رمز الماكرو الموضح في المنشور أعلاه – بما في ذلك المتغير اسم “hextext” – تم استخدامه في واحدة من الهجمات الفعلية. ال لقطة شاشة أدناه ، من منشور نشر عام 2017 حيث طلب المستخدم النصيحة على API استدعاء وظيفة اعتراض ، ناقش تقنية ربط the functions named CreateMutexA andSetWindowTextW.

    EnlargeCheckPoint

    تقنيات التثبيت نفسها موجودة في العينات التي تم تحليلها بواسطة تحقق نقطة. وجدت نقطة التحقق أن نفس الشخصية كانت نشطة على منتدى تمشيط روسي غير قانوني. يقول الباحثون أن EvaPiks ” الاهتمام بالتمشيط يعني أن الهجمات محتملة مالياً بدافع ، بدلا من أن يكون الدافع وراء التجسس.

    آخر يوم الاثنين يتضمن تجزئة تشفير الخبيثة الثنائيات وعناوين IP وأسماء المستندات التي تعمل كمؤشرات من حل وسط.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: