🚧 Cybrat is a sub-brand of SySOC s.r.o. and is currently in beta phase
🚧 سيبرات علامة فرعية مملوكة لشركة سيسوك وتعمل حالياً ضمن المرحلة التجريبية

CYBRAT

ســيــبــرات

لأن الأمان يبدأ بالمعلومة

,

تحذير من تجدد نشاط جماعة إجرامية تستهدف النظام القضائي الأوكراني

2–3 minutes

أطلقت فريق الاستجابة للطوارئ الحاسوبية في أوكرانيا (CERT-UA) تحذيراً يوم الثلاثاء بشأن نشاط متجدد لجماعة إجرامية منظمة تُعرف باسم UAC-0173، والتي تسعى إلى إصابة الحواسيب ببرمجية خبيثة تُعرف باسم (DCRat) أو (DarkCrystal RAT). تم رصد هذه الحملة الهجومية في منتصف يناير 2025، وتهدف بشكل رئيسي إلى استهداف موظفي النظام القضائي في أوكرانيا.

تحليل تفصيلي وسياق الهجمات

تستخدم هذه الحملة رسائل تصيد احتيالي تدعي أنها مرسلة من قبل وزارة العدل الأوكرانية، تحث المستلمين على تحميل ملف قابل للتنفيذ. عند تشغيل هذا الملف، يتم نشر البرمجية الخبيثة DCRat. يتم استضافة هذه الملفات الضارة على خدمة التخزين السحابي Cloudflare’s R2.

بمجرد أن يحصل المهاجمون على وصول أولي إلى بيئة العمل الآلي للموظفين القضائيين، يقومون بتثبيت أدوات إضافية مثل RDPWRAPPER، الذي يتيح فتح جلسات RDP متوازية، مما يسهل على المهاجمين إنشاء اتصالات RDP مباشرة من الإنترنت إلى الحاسوب المستهدف.

الأدوات والبرمجيات المساعدة في الهجمات

تتميز الهجمات باستخدام أدوات وبرمجيات خبيثة أخرى مثل FIDDLER لاعتراض بيانات المصادقة المدخلة في واجهة الويب للسجلات الحكومية، وNMAP لمسح الشبكات، وXWorm لسرقة البيانات الحساسة مثل بيانات الاعتماد ومحتوى الحافظة.

علاوة على ذلك، تُستخدم الأنظمة المخترقة كقناة لإرسال رسائل بريد إلكتروني ضارة باستخدام أداة SENDMAIL، مما يسهم في نشر الهجمات بشكل أوسع.

تداعيات أمنية وتحليلات مقارنة

تأتي هذه التطورات بعد أيام من نسبة CERT-UA مجموعة فرعية ضمن مجموعة Sandworm (المعروفة أيضاً باسم APT44 أو Seashell Blizzard أو UAC-0002) لاستغلال ثغرة أمنية في Microsoft Windows (CVE-2024-38213) في النصف الثاني من عام 2024. استخدمت هذه الهجمات مستندات مفخخة لتنفيذ أوامر PowerShell مسؤولة عن عرض ملفات وهمية في حين تنشر حمولات إضافية في الخلفية.

استهدفت الأنشطة المرتبطة بـ UAC-0212 شركات توريد من صربيا وجمهورية التشيك وأوكرانيا بين يوليو 2024 وفبراير 2025، حيث سجلت بعض الهجمات ضد أكثر من عشرين مؤسسة أوكرانية متخصصة في تطوير أنظمة التحكم في العمليات الآلية (ACST)، والأعمال الكهربائية، ونقل البضائع.

تم توثيق بعض هذه الهجمات من قبل StrikeReady Labs وMicrosoft، حيث تتابع الأخيرة هذه المجموعة تحت اسم BadPilot.

التفاعل والنقاش

ما الذي يمكن أن تفعله المؤسسات لحماية نفسها من هذه الأنواع من الهجمات المتطورة؟ وكيف يمكن للدول تحسين إجراءاتها الأمنية السيبرانية لمواجهة هذه التهديدات المتزايدة؟

لمزيد من المعلومات والتحديثات حول الأمن السيبراني، تابعونا على تويتر وفيسبوك.

اكتشف المزيد مع سيبرات

اشترك ليصلك أحدث المنشورات على بريدك الإلكتروني

شاركنا رأيك بتعليق

المقالات الرائجة

اكتشف المزيد مع سيبرات

اشترك الآن للاستمرار في القراءة والحصول على الوصول الكامل إلى الأرشيف

تابع القراءة