بالو ألتو نتوركس تكتشف أنشطة جديدة تستغل مواقع «بلوج سبوت» و«بتلي» و«بايست بين» لشن هجمات على الشرق الأوسط - لغة العصر
رئيس مجلس الإدارة : عبدالمحسن سلامة               رئيس التحرير: نبيل الطاروطي

بالو ألتو نتوركس تكتشف أنشطة جديدة تستغل مواقع «بلوج سبوت» و«بتلي» و«بايست بين» لشن هجمات على الشرق الأوسط


  

بالو ألتو نتوركس تكتشف أنشطة جديدة تستغل مواقع «بلوج سبوت» و«بتلي» و«بايست بين» لشن هجمات على الشرق الأوسط

بدأت شركة «بالو ألتو نتوركس» بتتبع حملة هجومية ظهر في البداية أنها تستهدف مؤسسات في إحدى دول الشرق الأوسط. لكن التحليل اللاحق كشف احتمال أن النشاط الهجومي هذا هو جزء من حملة أكبر بكثير لا تستهدف منطقة الشرق الأوسط وحدها بل الولايات المتحدة وأنحاء أوروبا وآسيا أيضا. 
وكشف تحليل الشركة للمستندات الالكترونية المستخدمة في توصيل الفيروس أنها صممت لتحميل ماكرو برمجي خبيث عن بعد من خادم شبكي بانتهاج أسلوب حقن قوالب المستندات. ويستغل الماكرو النشرات في موقع التدوين «بلوج سبوت» BlogSpot  لاستجلاب نص برمجي يستخدم بدوره عدة نصوص برمجية ملصوقة على موقع «بايست بين» Pastebin  لغرض تنزيل نصوص برمجية إضافية، الأمر الذي يؤدي بالمحصلة إلى تلقيم حمولة برمجية من فيروس «ريفينج» لولوج الأجهزة عن بعد، وذلك بمؤازرة خادم تحكم وقيادة هجومي يحمل اسم نطاق مسجل لدى خدمة duckdns[.]org. وأثناء بحث الشركة، وجدنا عدة مستندات توصيل تنتهج نفس الإجراءات التي تؤدي إلى تثبيت فيروس «ريفينج» للدخول عن بعد والمستضاف على موقع «بايست بين»، مما يشير إلى اتباع الجهة المعادية التكتيكات والأساليب والإجراءات ذاتها في كافة مراحل حملتها الهجومية. 

ذهبت بالو ألتو نتوركس في البداية إلى احتمال ارتباط هذا النشاط المعادي بجماعة «جورجون»، وارتكزت الفرضية هذه على المستوى العالي في التكتيكات والأساليب والإجراءات الهجومية، بما في ذلك استخدام فيروس «ريفينج» للدخول عن بعد. لكن االشركة لم تحدد بعد قواسم مشتركة مباشرة ومتطابقة تشير إلى جماعة «جورجون». لذلك لا نستطيع إسناد هذا النشاط الهجومي إلى جماعة «جورجون» بدرجة مناسبة من اليقين. 

في ضوء ما ورد، أطلقت بالو ألتو نتوركس على النشاط الموصوف في هذه النشرة اسم حملة «أجّاه» Aggah  بالنظر إلى الاسم المستعار للجهة المعادية hagga، والذي استخدم لتوزيع البيانات المرسلة إلى خادم التحكم والقيادة الهجومي لفيروس «ريفينج»، فضلا عن كونه الاسم المستخدم في حسابات موقع «بايست بين» Pastebin لاستضافة الحمولة البرمجية للفيروس. 

وقامت الشركة بتحليل مستند توصيل أُرسل بالبريد الالكتروني إلى منظمة في إحدى دول الشرق الأوسط بتاريخ 27 مارس  2019. وتبين أن منشأ البريد هو مؤسسة مالية كبرى في الدولة ذاتها، مع احتمال أنه قد تم انتحال صفتها. وحمل البريد موضوع "جرى قفل حسابكم". هذا وقد أرسل مستند التوصيل الأولي في البداية إلى إحدى المنظمات العاملة في دولة شرق أوسطية، وعلى وجه التحديد إلى منظمة تعمل في إحدى القطاعات الرئيسية في التعليم/الإعلام/التسويق. وبعد أربعة أيام لاحقة، أي بتاريخ 31 مارس، لاحظت بالو ألتو نتوركس إرسال بريد التوصيل ذاته إلى منظمة مالية في بلد شرق أوسطي آخر. واكتشفنا لاحقًا أن مستند التوصيل هذا كان واحدًا من عدة مستندات منخرطة في حملة أكبر، وقد جرى إرسالها إلى منظمات في الولايات المتحدة وأوروبا وآسيا لاستهداف القطاع الرئيسي ذاته كما حصل في الشرق الأوسط، إضافة إلى قطاعات التكنولوجيا والتجزئة والتصنيع والحكومة والضيافة والطب وغيرها من الأعمال المهنية. ومن ناحية وظيفية، كانت المستندات ذات الصلة متشابهة فيما بينها، لذلك سنتجه إلى توصيف النموذج الأصلي الذي تم تحليله. 

شارك

بالو ألتو نتوركس تكتشف أنشطة جديدة تستغل مواقع «بلوج سبوت» و«بتلي» و«بايست بين» لشن هجمات على الشرق الأوسط

التعليق

  • تعرف على

    أفضل موسوعة عربية فى مجال التقنيات المعلوماتية في مصر والعالم العربي، وتقوم بنشر المعرفة المتكاملة والمستحدثة بكافة صورها حاليآ ومستقبلآ.

  • تابعنا على الفيس بوك

© 2014 جميع الحقوق محفوظة لمؤسسة الاهرام