كيف تستغل الجهات الفاعلة في مجال التهديد التعاون بين العلامات التجارية لاستهداف قنوات YouTube الشهيرة
يستهدف مجرمو الإنترنت بشكل متزايد منشئي YouTube من خلال استغلال عروض التعاون المزيفة للعلامة التجارية لتوزيع البرامج الضارة. تتضمن حملات التصيد الاحتيالي المعقدة هذه رسائل بريد إلكتروني مصممة بعناية تنتحل شخصية العلامات التجارية الموثوقة، وتقدم صفقات شراكة جذابة. غالبًا ما يتم تسليم البرامج الضارة، المتخفية في شكل مستندات شرعية مثل العقود أو المواد الترويجية، من خلال ملفات محمية بكلمة مرور مستضافة على منصات مثل OneDrive لتجنب الاكتشاف. بمجرد التنزيل، يمكن للبرامج الضارة سرقة المعلومات الحساسة، بما في ذلك بيانات اعتماد تسجيل الدخول والبيانات المالية، مع منح المهاجمين أيضًا الوصول عن بُعد إلى أنظمة الضحية. مع وضع منشئي المحتوى والمسوقين كأهداف أساسية، تؤكد هذه الحملة العالمية على أهمية التحقق من طلبات التعاون واعتماد تدابير الأمن السيبراني القوية للحماية من مثل هذه التهديدات.
يسلط هذا التقرير الضوء على حملة برامج ضارة معقدة تستهدف الشركات من خلال التصيد الاحتيالي عبر البريد الإلكتروني. يستفيد المهاجمون من الأسماء التجارية الموثوقة وعروض التعاون المهني كغطاء لتوزيع المرفقات الضارة. تم تصميم سطور موضوع البريد الإلكتروني ومحتوياته بعناية لتظهر كفرص عمل مشروعة، بما في ذلك العروض الترويجية ومقترحات الشراكة والتعاون التسويقي.
تشمل الخصائص الرئيسية للحملة ما يلي:
حمولة البريد الإلكتروني: يتم إخفاء البرامج الضارة داخل المرفقات مثل مستندات Word أو ملفات PDF أو ملفات Excel، وغالبًا ما تتنكر في صورة مواد ترويجية أو عقود أو مقترحات أعمال.
طريقة التوصيل: يتم إرسال رسائل البريد الإلكتروني المخادعة من عناوين بريد إلكتروني مزيفة أو مخترقة، مما يجعلها تبدو ذات مصداقية. يتم إغراء المستلمين بتنزيل الملفات المرفقة، معتقدين أنها عروض تجارية مشروعة.
سلوك البرامج الضارة: بمجرد فتح المرفق، تقوم البرامج الضارة بتثبيت نفسها على نظام الضحية. عادةً ما يتم تصميم هذه البرامج الضارة لسرقة البيانات الحساسة، بما في ذلك بيانات اعتماد تسجيل الدخول والمعلومات المالية والملكية الفكرية، أو لتوفير الوصول عن بُعد للمهاجم.
الجمهور المستهدف: تمثل الشركات والأفراد في التسويق والمبيعات والمناصب التنفيذية الأهداف الأساسية، نظرًا لميلهم إلى المشاركة في الترويج للعلامة التجارية والشراكات.
خريطة ذهنية لحملة البرامج الضارة
نظرة عامة:
كشف فريق الباحثين في مجال التهديدات في Cloudsek عن حملة برامج ضارة ينتحل فيها ممثلو التهديد شخصية العلامات التجارية الشهيرة ويقدم تعاونهم المهني كتمويه لتوزيع المرفقات الضارة. في البريد الإلكتروني أدناه، يقدم ممثل التهديد اقتراحًا للتعاون مع العلامة التجارية من، بما في ذلك هيكل التعويض بناءً على عدد المشتركين.
البريد الإلكتروني للتعاون مع العلامة التجارية
في نهاية الرسالة الإلكترونية، يتضمن ممثل التهديد تعليمات ورابط OneDrive للوصول إلى ملف مضغوط يحتوي على الاتفاقية والمواد الترويجية المؤمنة بكلمة المرور.
البريد الإلكتروني للتعاون مع العلامة التجارية
عندما نقرت ضحية YouTube على عنوان URL في البريد الإلكتروني، تم توجيهها إلى صفحة Drive. كشفت عمليات الفحص الإضافية عن البريد الإلكتروني لمالك Drive، «[email protected]»، وتاريخ الإنشاء في 08/15/2024 لحساب OneDrive.
لقطة من Onedrive تحتوي على ملف rar
يتم تضمين الحمولة الضارة داخل ملفين مضغوطين. يتم استخدام هذا التكتيك للتهرب من الاكتشاف من خلال عوامل تصفية الأمان الشائعة وحلول مكافحة الفيروسات. بمجرد استخراج الأرشيف، يتم نشر البرامج الضارة، مما قد يعرض نظام المستلم للخطر. بمعنى أصول الوسائط الكاملة Collection.rar > أرشيف العقود والاتفاقيات Collection.rar (محمي بكلمة مرور»). عند الاستخراج، يمكننا رؤية أربعة ملفات، حيث تعتبر شروط الاتفاقية الرقمية والمدفوعات الشاملة Evaluation.exe حمولة ضارة.
لقطة من العنصر المستخرج من أرشيف العقود والاتفاقيات Collection.rar
طريقة العمل:
تهيئة الهجوم:
محلل YouTube: يستخدم المهاجمون محللًا لجمع عناوين البريد الإلكتروني المجمعة من قنوات YouTube، واستهداف منشئي المحتوى والمؤسسات.
الأتمتة: يتم استخدام أدوات مثل Browser Automation لإرسال رسائل بريد إلكتروني تصيدية جماعية باستخدام خوادم SMTP (على سبيل المثال، Murena/onet.eu).
مرحلة التصيد الاحتيالي:
رسائل البريد الإلكتروني المخادعة: تم تصميم رسائل البريد الإلكتروني لتظهر كطلبات تعاون للعلامة التجارية.
المرفقات الضارة: يتم إرسال الضحايا إلى ملف مضغوط محمي بكلمة مرور، يتم استضافته على الخدمات السحابية مثل OneDrive.
تسليم البرامج الضارة:
تنزيل: يقوم الضحايا بتنزيل الملف المضغوط معتقدين أنه شرعي.
التنفيذ: بمجرد الاستخراج، يقوم الملف بنشر برنامج نصي ضار (webcams.pif) باستخدام التشغيل الآلي لـ AutoIT3 لتنفيذ البرامج الضارة.
عدوى النظام:
تنفيذ البرامج الضارة: تصيب الحمولة (على سبيل المثال، ملف EXE) جهاز الضحية.
تصفية البيانات: يتم نقل البيانات المسروقة مثل بيانات اعتماد المتصفح وملفات تعريف الارتباط وبيانات لوحة القصاصات إلى خادم الأوامر والتحكم (C2).
التحليل والإسناد:
بدأ تحقيقنا بتحليل عينة، حيث تم تصنيفها على أنها ضارة من قبل 15 من موردي برامج مكافحة الفيروسات على فيروس توتال. أظهر التحليل الإضافي أن العينة أسقطت ملفًا باسم webcam.pif (AutoIt3.exe). تمت مطابقة تجزئة هذا الملف، d8b7c7178fbdf169294e4e4f29dc582f89a5cf372e9da9215a082330dc12fd، تمت مطابقته مسبقًا بحث أجراه فريق Qualys، وربطه بحملة مرتبطة بـ Lumma Stealer.
نتيجة Virustotal لشروط الاتفاقية الرقمية والمدفوعات الشاملة Evaluation.exe
الواردات الرئيسية واستخداماتها الضارة المحتملة
الوظائف المتعلقة بالحافظة (مشبوهة - T1115 | بيانات الحافظة)بعض النصوص
إغلاق الحافظة / افتح الحافظة / حافظة فارغة / تعيين بيانات الحافظةبعض النصوص
يتم استخدام هذه الوظائف لمعالجة الحافظة.
الاستخدام الضار: غالبًا ما تستخدم البرامج الضارة وظائف الحافظة لسرقة البيانات التي ينسخها/لصقها المستخدمون أو استبدالها (مثل كلمات المرور وعناوين محفظة العملات المشفرة).
ميتري أت&ك 1115: غالبًا ما تكون بيانات الحافظة هدفًا للبرامج الضارة لسرقة المعلومات التي يمكنها الوصول إلى محتويات الحافظة وتعديلها.
وظائف الملفات والعمليات (من المحتمل أن تكون ضارة)بعض النصوص
اكتب ملفبعض النصوص
تستخدم لكتابة البيانات إلى ملف.
الاستخدام الضار: يمكن أن تستخدمه البرامج الضارة لكتابة حمولات ضارة أو إسقاط الملفات على النظام أو تسجيل البيانات المسروقة.
احصل على العملية الحالية / عملية مفتوحةبعض النصوص
ترتبط هذه الوظائف باسترجاع العمليات والتفاعل معها.
الاستخدام الضار: شائع في البرامج الضارة لحقن العمليات، حيث يتم حقن التعليمات البرمجية الضارة في عملية مشروعة لتجنب الاكتشاف.
ميتري أت&ك 1055: Process Injection هي تقنية تستخدمها البرامج الضارة لتشغيل التعليمات البرمجية الخاصة بها في مساحة العنوان الخاصة بعملية أخرى، مما يسمح لها بإخفاء آليات الأمان والتهرب منها.
وظيفة نظام الملفاتبعض النصوص
احصل على موقع مجلد خاصبعض النصوص
يتم استخدام هذه الوظيفة لاسترداد مسار المجلدات الخاصة مثل سطح المكتب أو المستندات.
الاستخدام الضار: يمكن أن تستخدم البرامج الضارة هذا لتحديد الأدلة الخاصة بالمستخدم إما لإسقاط الملفات الضارة أو سرقة بيانات المستخدم.
القيادة والتحكم:
تتواصل البرامج الضارة مع خوادم Command and Control (C2) لتصفية البيانات المسروقة. في البداية، تحاول تقديم طلب DNS إلى «ukcmcsvdazgzaoh.ukcmcsvdazgzaoh»، على الرغم من أن هذه الخوادم لا يمكن الوصول إليها حاليًا. بعد ذلك، تتصل البرامج الضارة بعنوان IP 89.105.223.80 على المنفذ 27105 وتحل عنوان URL http://vm95039.vps.client-server.site:27105/.
اسم النطاق: UKCMCSVDAZAoh.ukcmcsvdazgzaoh
لقطة من البرامج الضارة التي تتصل بـ ukcmcsvdazgzaoh.ukcmcsvdazgzaoh
بروتوكول التحكم عن بعد: 89.105.223.80:27105
لقطة من البرامج الضارة التي تتصل بـ 89.105.223.80 على المنفذ 27105
حل المشكلة: http://vm95039.vps.client-server.site:27105/
تعمل البرامج الضارة التي تتصل بـ 89.105.223.80 على المنفذ 27105 على حل http://vm95039.vps.client-server.site:27105/
شجرة العمليات:
يبدأ Evaluation.exe الشامل لشروط الاتفاقية الرقمية والمدفوعات التنفيذ مباشرة في الدليل المؤقت وينسخ «Larger.bat» و «Webcamps.pif» إلى الدليل. قد تكون هذه محاولة لإنشاء برنامج نصي دفعي للتنفيذ الآلي للأوامر الإضافية، وغالبًا ما تستخدمه البرامج الضارة للاستمرار أو لتحفيز المزيد من الأنشطة الضارة.
يتحقق ملف Larger.bat المعتم من عمليات مكافحة الفيروسات، بما في ذلك wrsa.exe (Webroot) وopssvc.exe (Quick Heal) و( Quick Heal) و( Bitdefender) وغيرها باستخدام أوامر tasklist وfindstr. bdservicehost.exe غالبًا ما تقوم البرامج الضارة بإجراء عمليات الفحص هذه لتحديد برامج مكافحة الفيروسات وربما تعطيلها.
كود غامض لـ Larger.bat
كود غير غامض لـ Larger.bat
بعد التنفيذ، يتم تنزيل مترجم برمجة AutoIt شرعي (متخفي باسم «webcams.pif») لتشغيل برنامج نصي مشوش للغاية (يشار إليه باسم «V» في العينة التي تم تحليلها). يتم تجميع هذا البرنامج النصي من خلال ربط «أجزاء» مختلفة من البيانات من عدة ملفات أخرى، والتي يتم إنشاؤها من خلال سلسلة من عمليات النسخ والدمج التي يتم تنفيذها من موجه الأوامر.
سلسلة من عمليات النسخ والدمج المنفذة من البرنامج النصي لموجه الأوامر
الغرض من البرنامج النصي AutoIt هو نشر الملف الثنائي الشرعي RegAsm.exe، والذي يعمل كحاوية لحقن كود .NET الضار. AutoIt هي لغة تطوير يستخدمها مؤلفو البرامج الضارة بشكل متكرر لإنشاء البرامج الضارة والتشويش عليها.
شجرة المعالجة
تقوم البرامج الضارة بإسقاط ملفين webcams.pif و RegAsm.exe في المجلد المسمى «10183" من الدليل المؤقت.
أنشأت البرامج الضارة مجلدًا «10183" وأسقطت RegAsm.exe وWabcams.pif
أسقطت البرامج الضارة ملف larger.bat وأجزاء أخرى من الملفات في الدليل المؤقت.
البنية التحتية لممثل تهديد الصيد:
لقد أجرينا تحقيقًا أعمق في البنية التحتية لممثل التهديد واكتشفنا ملف RAR مضغوطًا ضارًا تم تحميله إلى OneDrive. كشف التحليل الإضافي عن البريد الإلكتروني للمالك، «[email protected]»، وأشار إلى أنه تم تحديث ملف RAR آخر مرة في 8/15/2024.
لقطة تحتوي على تفاصيل منشئ محرك أقراص واحد
تحليل سجل السارق:
ومن المثير للاهتمام أننا اكتشفنا أيضًا سجل سرقة من حساب البريد الإلكتروني لممثل التهديد، مما يعرض تفاصيل الحملة بأكملها. وشمل ذلك حسابات البريد الإلكتروني لـ SMTP (مثل onet.eu و murena.io)، وبروكسيات SOCKS5، وواجهات برمجة تطبيقات Google Cloud، ورسائل البريد الإلكتروني الخاصة بالضحايا وملفات تعريف الارتباط، بالإضافة إلى قوالب التصيد الاحتيالي.
يبدو أنه تم استخدام أداة متعددة التحليل لجمع البيانات من YouTube، مما سمح لممثل التهديد بالحصول على عدد كبير من عناوين البريد الإلكتروني المرتبطة بقنوات YouTube كجزء من جهود الاستطلاع الأولية.
تعرض اللقطة سجلات السارق للجهات الفاعلة في مجال التهديد التي تحتوي على أدوات التشغيل الآلي والنصوص والقوالب.
في ما يلي نموذج من سجل السارق المستخدم لانتحال هوية العلامات التجارية لإرسال رسائل بريد إلكتروني غير مرغوب فيها إلى المستخدمين.
القوالب المستخدمة من قبل ممثل التهديد لاستهداف العلامة التجارية
القوالب المستخدمة من قبل ممثل التهديد لاستهداف العلامة التجارية
تقوم الجهات الفاعلة في مجال التهديد بإنشاء قوالب لحسابات SMTP المزيفة أو حسابات البريد الإلكتروني المؤقتة لإرسال رسائل بريد إلكتروني تحتوي على مرفقات ضارة. تم تصميم هذه النماذج لانتحال شخصية العلامات التجارية الشرعية، وذلك باستخدام الشعارات والتنسيقات واللغة المألوفة لخداع المستلمين وزيادة احتمالية فتحهم للمرفقات الضارة.
القوالب المستخدمة من قبل ممثل التهديد لإنشاء بريد إلكتروني للتصيد الاحتيالي SMTP/Spear
تم إنشاء العديد من حسابات SMTP التي تنتحل شخصية العلاقات العامة والكيانات الإعلامية لاستهداف جماهير YouTube.
تُظهر اللقطة حسابات SMTP متعددة تنتحل شخصية العلاقات العامة والكيانات الإعلامية
من خلال ملف information.txt، وجدنا أن الجهة المسؤولة عن التهديد تستخدم أدوات التشغيل الآلي لإرسال رسائل البريد الإلكتروني المخادعة وغيرها من مهام التشغيل الآلي.
أدوات التشغيل الآلي لإرسال رسائل البريد الإلكتروني المخادعة ومهام الأتمتة الأخرى.
تمكنا من تسجيل الدخول إلى حساب Murena.io SMTP ووجدنا دليلًا على حملة واسعة النطاق، حيث أرسل ممثل التهديد حوالي 500-1000 رسالة بريد إلكتروني عشوائية من عنوان بريد إلكتروني واحد، منتحلًا شخصية العلامة التجارية الشهيرة. فيما يلي لقطة شاشة لإحدى رسائل البريد الإلكتروني المخادعة المرسلة إلى الضحايا.
كشف الوصول إلى أحد حسابات SMTP عن حملة تصيد واسعة النطاق تستهدف العلامة التجارية الشهيرة
تُظهر اللقطة حملة تصيد واسعة النطاق تستهدف علامة تجارية مشهورة
اكتشفنا أيضًا سجل جلسات تسجيل الدخول السابقة، والتي تضمنت تفاصيل مثل عنوان IP للجلسة والمنطقة ووقت تسجيل الدخول ونوع الجهاز.
كشفت جلسات تسجيل الدخول السابقة عن عنوان IP للجلسة والمنطقة ووقت تسجيل الدخول ونوع الجهاز.
تشير المعلومات التفصيلية لأحد عناوين IP إلى أنه ينتمي إلى ISP وقد يكون جهاز مستخدم مخترقًا يتم استغلاله بشكل متكرر من قبل الجهات الفاعلة في مجال التهديد. 91.94.88.209
تعرض اللقطة تفاصيل عنوان IP
رقم الهاتف المسجل على حساب بريد SMTP هو +48537977468، الذي يحتوي على رمز دولة بولندا. ومع ذلك، قد يكون رقم هاتف محمول مؤقت.
تم العثور على ملف تعريف Twitch باسم المستخدم «raez228"
النموذج الماسي لتحليل التسلل:
يسلط هذا النموذج الماسي الضوء على ممثل تهديد جيد التنسيق وواسع الحيلة يستفيد من الأدوات والتقنيات المتقدمة لاختراق حسابات وسائل التواصل الاجتماعي والمؤسسات على مستوى العالم.
البنية التحتية للنموذج الماسي للخصم
خصم
يستفيد الخصم من البرامج الضارة والتقنيات المتطورة للهجمات المستهدفة. تشير أفعالهم إلى مجموعة منظمة جيدًا مع إمكانية الوصول إلى أدوات وموارد متنوعة.
البنية التحتية
يستخدم الخصم بنية تحتية قوية لدعم حملاته، بما في ذلك:
أكثر من 340 خادم SMTP (على سبيل المثال، murena/onet.eu) لحملات التصيد الاحتيالي أو البريد العشوائي القائمة على البريد الإلكتروني.
أكثر من 46 بروتوكولًا لسطح المكتب البعيد (RDPs)، يُستخدم على الأرجح للوصول إلى الأنظمة المخترقة أو نشر البرامج الضارة.
أكثر من 26 بروكسي SOCKS5، مما يساعد على إخفاء هوية حركة المرور وتسهيل الاتصال الخفي باستخدام خوادم Command and Control (C2).
أدوات التشغيل الآلي مثل Youparser، استوديو التشغيل الآلي للمتصفح، و زينوبوكس لتبسيط العمليات مثل التصيد الاحتيالي وجمع بيانات الاعتماد وتوسيع نطاق الهجمات.
القدرة
يعرض الخصم القدرات الرئيسية التالية:
نشر البرامج الضارة: الاستفادة من البرامج الضارة للتسلل إلى الأنظمة المستهدفة والتحكم فيها.
الهندسة الاجتماعية: التلاعب بالأفراد للوصول غير المصرح به إلى الحسابات أو الأنظمة.
عمليات الاستحواذ على الحساب: الحصول على وصول غير مصرح به إلى حسابات الضحايا للاستغلال.
بيانات الاعتماد وحصاد ملفات تعريف الارتباط: سرقة معلومات تسجيل الدخول وملفات تعريف الارتباط الخاصة بالجلسة للوصول غير المصرح به إلى الحساب أو الحركة الجانبية.
الضحايا
الصناعة: التركيز على منصات وسائل التواصل الاجتماعي والمنظمات المرتبطة بها.
المنصات: يُعد YouTube هدفًا أساسيًا، مما يشير إلى نية استغلال قاعدة المستخدمين أو ميزات النظام الأساسي.
المنظمات: تم استهداف الكيانات، على الأرجح لأغراض التصيد الاحتيالي أو الاحتيال أو انتحال الشخصية.
الجغرافيا: تحتوي الحملة على عالمي التأثير، دون تركيز إقليمي محدد.
تكتيكات وتقنيات MITRE ATT&CK:
MITRE Tactics and Techniques
MITRE ATT&CK Framework: Tactics and Techniques
Tactic
Techniques
Reconnaissance
Gather Victim Identity Information (T1589.002), Gather Victim Network Information (T1590)
Resource Development
Valid Accounts (T1078), Default Accounts (T1078.001), Email Addresses (T1589.001), Employee Names (T1589.003), DNS Server (T1589.004)
Initial Access
Drive-by Compromise (T1189), Spearphishing Link (T1566.002)
Execution
Windows Management Instrumentation (T1047), Scripting (T1059), Process Injection (T1055)
Process Injection (T1055), Masquerading (T1036), Virtualization/Sandbox Evasion (T1497), Disable or Modify Tools (T1562), Deobfuscate/Decode Files or Information (T1140)
Credential Access
OS Credential Dumping (T1003), Security Account Manager (T1003.003)
Discovery
Process Discovery (T1057), System Information Discovery (T1082), Internet Connection Discovery (T1016), File and Directory Discovery (T1083), Browser Information Discovery (T1217)
Data from Local System (T1005), Data from Removable Media (T1025), Input Capture (T1056), Keylogging (T1056.001), Data from Network Shared Drive (T1039)
كيف تستغل الجهات الفاعلة في مجال التهديد التعاون بين العلامات التجارية لاستهداف قنوات YouTube الشهيرة
يستهدف مجرمو الإنترنت بشكل متزايد منشئي YouTube من خلال استغلال عروض التعاون المزيفة للعلامة التجارية لتوزيع البرامج الضارة. تتضمن حملات التصيد الاحتيالي المعقدة هذه رسائل بريد إلكتروني مصممة بعناية تنتحل شخصية العلامات التجارية الموثوقة، وتقدم صفقات شراكة جذابة. غالبًا ما يتم تسليم البرامج الضارة، المتخفية في شكل مستندات شرعية مثل العقود أو المواد الترويجية، من خلال ملفات محمية بكلمة مرور مستضافة على منصات مثل OneDrive لتجنب الاكتشاف. بمجرد التنزيل، يمكن للبرامج الضارة سرقة المعلومات الحساسة، بما في ذلك بيانات اعتماد تسجيل الدخول والبيانات المالية، مع منح المهاجمين أيضًا الوصول عن بُعد إلى أنظمة الضحية. مع وضع منشئي المحتوى والمسوقين كأهداف أساسية، تؤكد هذه الحملة العالمية على أهمية التحقق من طلبات التعاون واعتماد تدابير الأمن السيبراني القوية للحماية من مثل هذه التهديدات.
Get the latest industry news, threats and resources.
ملخص تنفيذي
يسلط هذا التقرير الضوء على حملة برامج ضارة معقدة تستهدف الشركات من خلال التصيد الاحتيالي عبر البريد الإلكتروني. يستفيد المهاجمون من الأسماء التجارية الموثوقة وعروض التعاون المهني كغطاء لتوزيع المرفقات الضارة. تم تصميم سطور موضوع البريد الإلكتروني ومحتوياته بعناية لتظهر كفرص عمل مشروعة، بما في ذلك العروض الترويجية ومقترحات الشراكة والتعاون التسويقي.
تشمل الخصائص الرئيسية للحملة ما يلي:
حمولة البريد الإلكتروني: يتم إخفاء البرامج الضارة داخل المرفقات مثل مستندات Word أو ملفات PDF أو ملفات Excel، وغالبًا ما تتنكر في صورة مواد ترويجية أو عقود أو مقترحات أعمال.
طريقة التوصيل: يتم إرسال رسائل البريد الإلكتروني المخادعة من عناوين بريد إلكتروني مزيفة أو مخترقة، مما يجعلها تبدو ذات مصداقية. يتم إغراء المستلمين بتنزيل الملفات المرفقة، معتقدين أنها عروض تجارية مشروعة.
سلوك البرامج الضارة: بمجرد فتح المرفق، تقوم البرامج الضارة بتثبيت نفسها على نظام الضحية. عادةً ما يتم تصميم هذه البرامج الضارة لسرقة البيانات الحساسة، بما في ذلك بيانات اعتماد تسجيل الدخول والمعلومات المالية والملكية الفكرية، أو لتوفير الوصول عن بُعد للمهاجم.
الجمهور المستهدف: تمثل الشركات والأفراد في التسويق والمبيعات والمناصب التنفيذية الأهداف الأساسية، نظرًا لميلهم إلى المشاركة في الترويج للعلامة التجارية والشراكات.
خريطة ذهنية لحملة البرامج الضارة
نظرة عامة:
كشف فريق الباحثين في مجال التهديدات في Cloudsek عن حملة برامج ضارة ينتحل فيها ممثلو التهديد شخصية العلامات التجارية الشهيرة ويقدم تعاونهم المهني كتمويه لتوزيع المرفقات الضارة. في البريد الإلكتروني أدناه، يقدم ممثل التهديد اقتراحًا للتعاون مع العلامة التجارية من، بما في ذلك هيكل التعويض بناءً على عدد المشتركين.
البريد الإلكتروني للتعاون مع العلامة التجارية
في نهاية الرسالة الإلكترونية، يتضمن ممثل التهديد تعليمات ورابط OneDrive للوصول إلى ملف مضغوط يحتوي على الاتفاقية والمواد الترويجية المؤمنة بكلمة المرور.
البريد الإلكتروني للتعاون مع العلامة التجارية
عندما نقرت ضحية YouTube على عنوان URL في البريد الإلكتروني، تم توجيهها إلى صفحة Drive. كشفت عمليات الفحص الإضافية عن البريد الإلكتروني لمالك Drive، «[email protected]»، وتاريخ الإنشاء في 08/15/2024 لحساب OneDrive.
لقطة من Onedrive تحتوي على ملف rar
يتم تضمين الحمولة الضارة داخل ملفين مضغوطين. يتم استخدام هذا التكتيك للتهرب من الاكتشاف من خلال عوامل تصفية الأمان الشائعة وحلول مكافحة الفيروسات. بمجرد استخراج الأرشيف، يتم نشر البرامج الضارة، مما قد يعرض نظام المستلم للخطر. بمعنى أصول الوسائط الكاملة Collection.rar > أرشيف العقود والاتفاقيات Collection.rar (محمي بكلمة مرور»). عند الاستخراج، يمكننا رؤية أربعة ملفات، حيث تعتبر شروط الاتفاقية الرقمية والمدفوعات الشاملة Evaluation.exe حمولة ضارة.
لقطة من العنصر المستخرج من أرشيف العقود والاتفاقيات Collection.rar
طريقة العمل:
تهيئة الهجوم:
محلل YouTube: يستخدم المهاجمون محللًا لجمع عناوين البريد الإلكتروني المجمعة من قنوات YouTube، واستهداف منشئي المحتوى والمؤسسات.
الأتمتة: يتم استخدام أدوات مثل Browser Automation لإرسال رسائل بريد إلكتروني تصيدية جماعية باستخدام خوادم SMTP (على سبيل المثال، Murena/onet.eu).
مرحلة التصيد الاحتيالي:
رسائل البريد الإلكتروني المخادعة: تم تصميم رسائل البريد الإلكتروني لتظهر كطلبات تعاون للعلامة التجارية.
المرفقات الضارة: يتم إرسال الضحايا إلى ملف مضغوط محمي بكلمة مرور، يتم استضافته على الخدمات السحابية مثل OneDrive.
تسليم البرامج الضارة:
تنزيل: يقوم الضحايا بتنزيل الملف المضغوط معتقدين أنه شرعي.
التنفيذ: بمجرد الاستخراج، يقوم الملف بنشر برنامج نصي ضار (webcams.pif) باستخدام التشغيل الآلي لـ AutoIT3 لتنفيذ البرامج الضارة.
عدوى النظام:
تنفيذ البرامج الضارة: تصيب الحمولة (على سبيل المثال، ملف EXE) جهاز الضحية.
تصفية البيانات: يتم نقل البيانات المسروقة مثل بيانات اعتماد المتصفح وملفات تعريف الارتباط وبيانات لوحة القصاصات إلى خادم الأوامر والتحكم (C2).
التحليل والإسناد:
بدأ تحقيقنا بتحليل عينة، حيث تم تصنيفها على أنها ضارة من قبل 15 من موردي برامج مكافحة الفيروسات على فيروس توتال. أظهر التحليل الإضافي أن العينة أسقطت ملفًا باسم webcam.pif (AutoIt3.exe). تمت مطابقة تجزئة هذا الملف، d8b7c7178fbdf169294e4e4f29dc582f89a5cf372e9da9215a082330dc12fd، تمت مطابقته مسبقًا بحث أجراه فريق Qualys، وربطه بحملة مرتبطة بـ Lumma Stealer.
نتيجة Virustotal لشروط الاتفاقية الرقمية والمدفوعات الشاملة Evaluation.exe
الواردات الرئيسية واستخداماتها الضارة المحتملة
الوظائف المتعلقة بالحافظة (مشبوهة - T1115 | بيانات الحافظة)بعض النصوص
إغلاق الحافظة / افتح الحافظة / حافظة فارغة / تعيين بيانات الحافظةبعض النصوص
يتم استخدام هذه الوظائف لمعالجة الحافظة.
الاستخدام الضار: غالبًا ما تستخدم البرامج الضارة وظائف الحافظة لسرقة البيانات التي ينسخها/لصقها المستخدمون أو استبدالها (مثل كلمات المرور وعناوين محفظة العملات المشفرة).
ميتري أت&ك 1115: غالبًا ما تكون بيانات الحافظة هدفًا للبرامج الضارة لسرقة المعلومات التي يمكنها الوصول إلى محتويات الحافظة وتعديلها.
وظائف الملفات والعمليات (من المحتمل أن تكون ضارة)بعض النصوص
اكتب ملفبعض النصوص
تستخدم لكتابة البيانات إلى ملف.
الاستخدام الضار: يمكن أن تستخدمه البرامج الضارة لكتابة حمولات ضارة أو إسقاط الملفات على النظام أو تسجيل البيانات المسروقة.
احصل على العملية الحالية / عملية مفتوحةبعض النصوص
ترتبط هذه الوظائف باسترجاع العمليات والتفاعل معها.
الاستخدام الضار: شائع في البرامج الضارة لحقن العمليات، حيث يتم حقن التعليمات البرمجية الضارة في عملية مشروعة لتجنب الاكتشاف.
ميتري أت&ك 1055: Process Injection هي تقنية تستخدمها البرامج الضارة لتشغيل التعليمات البرمجية الخاصة بها في مساحة العنوان الخاصة بعملية أخرى، مما يسمح لها بإخفاء آليات الأمان والتهرب منها.
وظيفة نظام الملفاتبعض النصوص
احصل على موقع مجلد خاصبعض النصوص
يتم استخدام هذه الوظيفة لاسترداد مسار المجلدات الخاصة مثل سطح المكتب أو المستندات.
الاستخدام الضار: يمكن أن تستخدم البرامج الضارة هذا لتحديد الأدلة الخاصة بالمستخدم إما لإسقاط الملفات الضارة أو سرقة بيانات المستخدم.
القيادة والتحكم:
تتواصل البرامج الضارة مع خوادم Command and Control (C2) لتصفية البيانات المسروقة. في البداية، تحاول تقديم طلب DNS إلى «ukcmcsvdazgzaoh.ukcmcsvdazgzaoh»، على الرغم من أن هذه الخوادم لا يمكن الوصول إليها حاليًا. بعد ذلك، تتصل البرامج الضارة بعنوان IP 89.105.223.80 على المنفذ 27105 وتحل عنوان URL http://vm95039.vps.client-server.site:27105/.
اسم النطاق: UKCMCSVDAZAoh.ukcmcsvdazgzaoh
لقطة من البرامج الضارة التي تتصل بـ ukcmcsvdazgzaoh.ukcmcsvdazgzaoh
بروتوكول التحكم عن بعد: 89.105.223.80:27105
لقطة من البرامج الضارة التي تتصل بـ 89.105.223.80 على المنفذ 27105
حل المشكلة: http://vm95039.vps.client-server.site:27105/
تعمل البرامج الضارة التي تتصل بـ 89.105.223.80 على المنفذ 27105 على حل http://vm95039.vps.client-server.site:27105/
شجرة العمليات:
يبدأ Evaluation.exe الشامل لشروط الاتفاقية الرقمية والمدفوعات التنفيذ مباشرة في الدليل المؤقت وينسخ «Larger.bat» و «Webcamps.pif» إلى الدليل. قد تكون هذه محاولة لإنشاء برنامج نصي دفعي للتنفيذ الآلي للأوامر الإضافية، وغالبًا ما تستخدمه البرامج الضارة للاستمرار أو لتحفيز المزيد من الأنشطة الضارة.
يتحقق ملف Larger.bat المعتم من عمليات مكافحة الفيروسات، بما في ذلك wrsa.exe (Webroot) وopssvc.exe (Quick Heal) و( Quick Heal) و( Bitdefender) وغيرها باستخدام أوامر tasklist وfindstr. bdservicehost.exe غالبًا ما تقوم البرامج الضارة بإجراء عمليات الفحص هذه لتحديد برامج مكافحة الفيروسات وربما تعطيلها.
كود غامض لـ Larger.bat
كود غير غامض لـ Larger.bat
بعد التنفيذ، يتم تنزيل مترجم برمجة AutoIt شرعي (متخفي باسم «webcams.pif») لتشغيل برنامج نصي مشوش للغاية (يشار إليه باسم «V» في العينة التي تم تحليلها). يتم تجميع هذا البرنامج النصي من خلال ربط «أجزاء» مختلفة من البيانات من عدة ملفات أخرى، والتي يتم إنشاؤها من خلال سلسلة من عمليات النسخ والدمج التي يتم تنفيذها من موجه الأوامر.
سلسلة من عمليات النسخ والدمج المنفذة من البرنامج النصي لموجه الأوامر
الغرض من البرنامج النصي AutoIt هو نشر الملف الثنائي الشرعي RegAsm.exe، والذي يعمل كحاوية لحقن كود .NET الضار. AutoIt هي لغة تطوير يستخدمها مؤلفو البرامج الضارة بشكل متكرر لإنشاء البرامج الضارة والتشويش عليها.
شجرة المعالجة
تقوم البرامج الضارة بإسقاط ملفين webcams.pif و RegAsm.exe في المجلد المسمى «10183" من الدليل المؤقت.
أنشأت البرامج الضارة مجلدًا «10183" وأسقطت RegAsm.exe وWabcams.pif
أسقطت البرامج الضارة ملف larger.bat وأجزاء أخرى من الملفات في الدليل المؤقت.
البنية التحتية لممثل تهديد الصيد:
لقد أجرينا تحقيقًا أعمق في البنية التحتية لممثل التهديد واكتشفنا ملف RAR مضغوطًا ضارًا تم تحميله إلى OneDrive. كشف التحليل الإضافي عن البريد الإلكتروني للمالك، «[email protected]»، وأشار إلى أنه تم تحديث ملف RAR آخر مرة في 8/15/2024.
لقطة تحتوي على تفاصيل منشئ محرك أقراص واحد
تحليل سجل السارق:
ومن المثير للاهتمام أننا اكتشفنا أيضًا سجل سرقة من حساب البريد الإلكتروني لممثل التهديد، مما يعرض تفاصيل الحملة بأكملها. وشمل ذلك حسابات البريد الإلكتروني لـ SMTP (مثل onet.eu و murena.io)، وبروكسيات SOCKS5، وواجهات برمجة تطبيقات Google Cloud، ورسائل البريد الإلكتروني الخاصة بالضحايا وملفات تعريف الارتباط، بالإضافة إلى قوالب التصيد الاحتيالي.
يبدو أنه تم استخدام أداة متعددة التحليل لجمع البيانات من YouTube، مما سمح لممثل التهديد بالحصول على عدد كبير من عناوين البريد الإلكتروني المرتبطة بقنوات YouTube كجزء من جهود الاستطلاع الأولية.
تعرض اللقطة سجلات السارق للجهات الفاعلة في مجال التهديد التي تحتوي على أدوات التشغيل الآلي والنصوص والقوالب.
في ما يلي نموذج من سجل السارق المستخدم لانتحال هوية العلامات التجارية لإرسال رسائل بريد إلكتروني غير مرغوب فيها إلى المستخدمين.
القوالب المستخدمة من قبل ممثل التهديد لاستهداف العلامة التجارية
القوالب المستخدمة من قبل ممثل التهديد لاستهداف العلامة التجارية
تقوم الجهات الفاعلة في مجال التهديد بإنشاء قوالب لحسابات SMTP المزيفة أو حسابات البريد الإلكتروني المؤقتة لإرسال رسائل بريد إلكتروني تحتوي على مرفقات ضارة. تم تصميم هذه النماذج لانتحال شخصية العلامات التجارية الشرعية، وذلك باستخدام الشعارات والتنسيقات واللغة المألوفة لخداع المستلمين وزيادة احتمالية فتحهم للمرفقات الضارة.
القوالب المستخدمة من قبل ممثل التهديد لإنشاء بريد إلكتروني للتصيد الاحتيالي SMTP/Spear
تم إنشاء العديد من حسابات SMTP التي تنتحل شخصية العلاقات العامة والكيانات الإعلامية لاستهداف جماهير YouTube.
تُظهر اللقطة حسابات SMTP متعددة تنتحل شخصية العلاقات العامة والكيانات الإعلامية
من خلال ملف information.txt، وجدنا أن الجهة المسؤولة عن التهديد تستخدم أدوات التشغيل الآلي لإرسال رسائل البريد الإلكتروني المخادعة وغيرها من مهام التشغيل الآلي.
أدوات التشغيل الآلي لإرسال رسائل البريد الإلكتروني المخادعة ومهام الأتمتة الأخرى.
تمكنا من تسجيل الدخول إلى حساب Murena.io SMTP ووجدنا دليلًا على حملة واسعة النطاق، حيث أرسل ممثل التهديد حوالي 500-1000 رسالة بريد إلكتروني عشوائية من عنوان بريد إلكتروني واحد، منتحلًا شخصية العلامة التجارية الشهيرة. فيما يلي لقطة شاشة لإحدى رسائل البريد الإلكتروني المخادعة المرسلة إلى الضحايا.
كشف الوصول إلى أحد حسابات SMTP عن حملة تصيد واسعة النطاق تستهدف العلامة التجارية الشهيرة
تُظهر اللقطة حملة تصيد واسعة النطاق تستهدف علامة تجارية مشهورة
اكتشفنا أيضًا سجل جلسات تسجيل الدخول السابقة، والتي تضمنت تفاصيل مثل عنوان IP للجلسة والمنطقة ووقت تسجيل الدخول ونوع الجهاز.
كشفت جلسات تسجيل الدخول السابقة عن عنوان IP للجلسة والمنطقة ووقت تسجيل الدخول ونوع الجهاز.
تشير المعلومات التفصيلية لأحد عناوين IP إلى أنه ينتمي إلى ISP وقد يكون جهاز مستخدم مخترقًا يتم استغلاله بشكل متكرر من قبل الجهات الفاعلة في مجال التهديد. 91.94.88.209
تعرض اللقطة تفاصيل عنوان IP
رقم الهاتف المسجل على حساب بريد SMTP هو +48537977468، الذي يحتوي على رمز دولة بولندا. ومع ذلك، قد يكون رقم هاتف محمول مؤقت.
تم العثور على ملف تعريف Twitch باسم المستخدم «raez228"
النموذج الماسي لتحليل التسلل:
يسلط هذا النموذج الماسي الضوء على ممثل تهديد جيد التنسيق وواسع الحيلة يستفيد من الأدوات والتقنيات المتقدمة لاختراق حسابات وسائل التواصل الاجتماعي والمؤسسات على مستوى العالم.
البنية التحتية للنموذج الماسي للخصم
خصم
يستفيد الخصم من البرامج الضارة والتقنيات المتطورة للهجمات المستهدفة. تشير أفعالهم إلى مجموعة منظمة جيدًا مع إمكانية الوصول إلى أدوات وموارد متنوعة.
البنية التحتية
يستخدم الخصم بنية تحتية قوية لدعم حملاته، بما في ذلك:
أكثر من 340 خادم SMTP (على سبيل المثال، murena/onet.eu) لحملات التصيد الاحتيالي أو البريد العشوائي القائمة على البريد الإلكتروني.
أكثر من 46 بروتوكولًا لسطح المكتب البعيد (RDPs)، يُستخدم على الأرجح للوصول إلى الأنظمة المخترقة أو نشر البرامج الضارة.
أكثر من 26 بروكسي SOCKS5، مما يساعد على إخفاء هوية حركة المرور وتسهيل الاتصال الخفي باستخدام خوادم Command and Control (C2).
أدوات التشغيل الآلي مثل Youparser، استوديو التشغيل الآلي للمتصفح، و زينوبوكس لتبسيط العمليات مثل التصيد الاحتيالي وجمع بيانات الاعتماد وتوسيع نطاق الهجمات.
القدرة
يعرض الخصم القدرات الرئيسية التالية:
نشر البرامج الضارة: الاستفادة من البرامج الضارة للتسلل إلى الأنظمة المستهدفة والتحكم فيها.
الهندسة الاجتماعية: التلاعب بالأفراد للوصول غير المصرح به إلى الحسابات أو الأنظمة.
عمليات الاستحواذ على الحساب: الحصول على وصول غير مصرح به إلى حسابات الضحايا للاستغلال.
بيانات الاعتماد وحصاد ملفات تعريف الارتباط: سرقة معلومات تسجيل الدخول وملفات تعريف الارتباط الخاصة بالجلسة للوصول غير المصرح به إلى الحساب أو الحركة الجانبية.
الضحايا
الصناعة: التركيز على منصات وسائل التواصل الاجتماعي والمنظمات المرتبطة بها.
المنصات: يُعد YouTube هدفًا أساسيًا، مما يشير إلى نية استغلال قاعدة المستخدمين أو ميزات النظام الأساسي.
المنظمات: تم استهداف الكيانات، على الأرجح لأغراض التصيد الاحتيالي أو الاحتيال أو انتحال الشخصية.
الجغرافيا: تحتوي الحملة على عالمي التأثير، دون تركيز إقليمي محدد.
تكتيكات وتقنيات MITRE ATT&CK:
MITRE Tactics and Techniques
MITRE ATT&CK Framework: Tactics and Techniques
Tactic
Techniques
Reconnaissance
Gather Victim Identity Information (T1589.002), Gather Victim Network Information (T1590)
Resource Development
Valid Accounts (T1078), Default Accounts (T1078.001), Email Addresses (T1589.001), Employee Names (T1589.003), DNS Server (T1589.004)
Initial Access
Drive-by Compromise (T1189), Spearphishing Link (T1566.002)
Execution
Windows Management Instrumentation (T1047), Scripting (T1059), Process Injection (T1055)
Process Injection (T1055), Masquerading (T1036), Virtualization/Sandbox Evasion (T1497), Disable or Modify Tools (T1562), Deobfuscate/Decode Files or Information (T1140)
Credential Access
OS Credential Dumping (T1003), Security Account Manager (T1003.003)
Discovery
Process Discovery (T1057), System Information Discovery (T1082), Internet Connection Discovery (T1016), File and Directory Discovery (T1083), Browser Information Discovery (T1217)
Data from Local System (T1005), Data from Removable Media (T1025), Input Capture (T1056), Keylogging (T1056.001), Data from Network Shared Drive (T1039)