اخبار «تهديد في الفضاء السيبراني» حملة تجسس إلكتروني تستهدف قطاع الفضاء الجوي الروسي

«تهديد في الفضاء السيبراني» حملة تجسس إلكتروني تستهدف قطاع الفضاء الجوي الروسي

شادي سرور Updated on تصنيف اخبار
«تهديد في الفضاء السيبراني» حملة تجسس إلكتروني تستهدف قطاع الفضاء الجوي الروسي

صناعتا الفضاء والدفاع الروسيتان تحت مرمى نيران حملة تجسس إلكتروني متطورة, تستخدم برمجية خبيثة باسم EAGLET لتسهيل سرقة البيانات الحساسة

“عملية كارغو تالون” هو الاسم الذي أُطلق على هذه الحملة, والتي تُنسب إلى مجموعة تهديدات تحمل اسم UNG0901 (المجموعة المجهولة 901)

وفقًا لتحليل نشره سوبهاجيت سينغها, الباحث في مختبرات “Seqrite”, فإن “الحملة تستهدف موظفي جمعية فورونيج لإنتاج الطائرات (VASO), وهي إحدى أكبر شركات تصنيع الطائرات في روسيا, وذلك باستخدام وثائق (TTN) بالغة الأهمية للعمليات اللوجستية الروسية”

يبدأ الهجوم عبر رسالة بريد إلكتروني خادعة, تتظاهر بأنها متعلقة بتسليم البضائع, وتحتوي على أرشيف ZIP, بداخله ملف اختصار Windows (LNK) يستخدم PowerShell لعرض مستند Microsoft Excel مزيف, وفي الوقت نفسه يقوم بتثبيت برمجية EAGLET الخبيثة على الجهاز, وفقًا لتقرير نشره موقع “thehackernews” واطلعت عليه “العربية Business”

تشير الوثيقة المزيفة, كما ذكرت Seqrite, إلى شركة Obltransterminal, وهي شركة روسية لتشغيل محطات حاويات السكك الحديدية, والتي فرض عليها مكتب مراقبة الأصول الأجنبية (OFAC) التابع لوزارة الخزانة الأميركية عقوبات في فبراير 2024

تم تصميم برمجية EAGLET لجمع معلومات النظام, وإنشاء اتصال بخادم بعيد مُبرمج مسبقًا (“185,225,17[ ]104”), لمعالجة استجابة HTTP من الخادم واستخراج الأوامر لتنفيذها على جهاز ويندوز المُخترق

تتيح هذه البرمجية الخبيثة الوصول إلى shell, وإمكانية تحميل وتنزيل الملفات, ومع ذلك, تظل طبيعة الحمولات اللاحقة المرسلة بهذه الطريقة غير معروفة, لأن خادم القيادة والتحكم (C2) غير متصل بالإنترنت في الوقت الحالي

أعلنت Seqrite أيضًا عن اكتشاف حملات مماثلة تستهدف القطاع العسكري الروسي باستخدام EAGLET, بالإضافة إلى وجود أوجه تشابه في شيفرة المصدر والاستهداف مع مجموعة تهديدات أخرى تُعرف باسم Head Mare, والتي تستهدف عادةً الكيانات الروسية

أقرأ كمان:  «مفاوضات حاسمة» أستون فيلا يدرس طلب مانشستر يونايتد لضم إيميليانو مارتينيز

يتضمن ذلك أوجه التشابه الوظيفية بين EAGLET وPhantomDL, وهو باب خلفي مزود بغلاف وقدرة على تنزيل وتحميل الملفات, بالإضافة إلى تطابق في نمط التسمية المستخدم في مرفقات رسائل التصيد الاحتيالي

يأتي هذا الكشف في ظل اتهام مجموعة القرصنة الروسية المدعومة من الدولة, UAC-0184 (المعروفة أيضًا باسم Hive0156), بشن موجة هجمات جديدة استهدفت ضحايا في أوكرانيا باستخدام Remcos RAT في وقت سابق من هذا الشهر

على الرغم من أن الجهة الفاعلة في التهديد لديها تاريخ في استخدام Remcos RAT منذ أوائل عام 2024, إلا أن سلاسل الهجمات الحديثة التي تنشر البرامج الضارة قد تم تبسيطها, باستخدام ملفات LNK أو PowerShell المسلحة لاستعادة ملف التمويه وحمولة Hijack Loader (المعروفة أيضًا باسم IDAT Loader), والتي بدورها تطلق Remcos RAT