هجمات نادرة من ذئب أبت على روسيا مع مجال العملات الرقمية والتعدين وسرقة البيانات

ونفذت مجموعة إلكترونية متقدمة تدعى “بالذئب النادر”** هجمات في روسيا ورابطة الدول المستقلة (CIS)، مستهدفة بشكل أساسي القطاعين الصناعي والتعليمي.

• يستخدم المهاجمون أدوات طرف ثالث شرعية ونصوص PowerShell بدلاً من البرمجيات الضارة المصنوعة خصيصًا، مما يجعل الكشف عنها أكثر صعوبة.
• رسائل البريد الإلكتروني الاحتيالية توصل البرمجيات الخبيثة المخفية داخل أرشيفات محمية بكلمة مرور، والتي تنشر برامج تعدين العملات المشفرة وتسرق بيانات المستخدم.
• تأثر المئات من المستخدمين الروس، بما في ذلك أولئك في بيلاروس وكازاخستان. ركز المهاجمون على سرقة بيانات الاعتماد وتمكين الوصول عن بُعد.
• مجموعة منفصلة، DarkGaboon، استخدمت برامج الفدية LockBit 3.0 في هجمات مدفوعة ماليًا تستهدف المنظمات الروسية منذ عام 2023. تم ربط مجموعة إلكترونية تعرف باسم ** بالذئب النادر ** بسلسلة من الهجمات الإلكترونية التي تستهدف روسيا ودول رابطة الدول المستقلة الأخرى. استخدم المهاجمون رسائل البريد الإلكتروني للتصيد الاحتيالي لتسليم ملفات ضارة ، بهدف الوصول عن بعد وسرقة بيانات الاعتماد وتثبيت برنامج تعدين العملات المشفرة يسمى XMRig. أثرت هذه الهجمات على عدة مئات من المستخدمين ، بما في ذلك أولئك الذين يعملون في الشركات الصناعية والمدارس الفنية في روسيا وبيلاروسيا وكازاخستان.

• الإعلانات - وفقا للباحثين في ** Kaspersky ** ، تتجنب المجموعة البرامج الضارة التقليدية ، وبدلا من ذلك تستخدم ملفات الأوامر ونصوص PowerShell جنبا إلى جنب مع البرامج الشرعية لتنفيذ هجماتهم. * “السمة المميزة لهذا التهديد هي أن المهاجمين يفضلون استخدام برامج الطرف الثالث الشرعية على تطوير الثنائيات الخبيثة الخاصة بهم” ، ذكرت كاسبرسكي. أرسل المهاجمون رسائل بريد إلكتروني للتصيد الاحتيالي تحتوي على أرشيفات محمية بكلمة مرور تحتوي على ملفات قابلة للتنفيذ، وغالبا ما تكون متخفية في شكل مستندات مثل أوامر الدفع.

بمجرد دخولهم إلى نظام الضحية ، قام المهاجمون بتثبيت برامج مثل 4t Tray Minimizer ، والتي تخفي التطبيقات قيد التشغيل في علبة النظام. كما قاموا بنشر أدوات لتعطيل برامج مكافحة الفيروسات وإرسال البيانات المسروقة إلى حسابات البريد الإلكتروني التي يتحكم فيها المهاجم باستخدام البرنامج الشرعي Blat. استخدم الفريق برنامج سطح المكتب البعيد AnyDesk والبرامج النصية المجدولة للحفاظ على الوصول خلال ساعات محددة. * “لا تزال جميع الوظائف الضارة تعتمد على برنامج التثبيت والأمر ونصوص PowerShell” ، قال Kaspersky.

ذئب نادر—المعروف أيضًا باسم غيلان المكتبات وريتز—استهدف سابقًا منظمات في روسيا وأوكرانيا، مع نشاط ملحوظ منذ عام 2019. تتضمن استراتيجيتهم الاستفادة من أدوات معروفة لجعل الكشف والتحديد أكثر صعوبة.

في تطور منفصل ، ذكرت ** Positive Technologies ** أن المجموعة ذات الدوافع المالية ** DarkGaboon ** تستهدف المنظمات الروسية منذ منتصف عام 2023. تستخدم المجموعة رسائل بريد إلكتروني للتصيد الاحتيالي تحمل ملفات أرشيف أو ملفات شاشة توقف Windows لتنشيط LockBit 3.0 ransomware وأحصنة طروادة الأخرى للوصول عن بعد ، مثل XWorm و Revenge RAT. كما لاحظ الباحث فيكتور كازاكوف في ** Positive Technologies ** ، * “DarkGaboon ليس عميلا لخدمة LockBit RaaS ويعمل بشكل مستقل …”* تستخدم المجموعة إصدارات عامة من LockBit وتهدد بتسريب البيانات المسروقة عبر الإنترنت.

تسلط هذه الأنشطة الضوء على التهديدات المستمرة التي تواجه المنظمات في روسيا والمناطق المحيطة بها، حيث يعتمد المهاجمون على أدوات برمجية شائعة وشرعية لتفادي الكشف وتعقيد تحديد المسؤولية.

المقالات السابقة:

• شراكة أنت الدولية، دويتشه بنك لاستكشاف إطلاق العملة المستقرة
• أطلق SG Forge التابع لـ SocGen عملة مستقرة بالدولار الأمريكي على إيثريوم وسولانا
• كابيتال الكناري تشكل صندوق ائتماني في ديلاوير لصندوق الاستثمار المتداول المحتمل إنجكتيف (INJ)
• النساء يخسرن 50 ألف دولار في عمليات احتيال العملات الرقمية بعد النقر على إعلانات فيسبوك الخاصة برئيس الوزراء
• SEC تقترح “استثناء الابتكار” لتعزيز منتجات العملات المشفرة على السلسلة

• إعلان -