Rattibha

📣#معلومة: اذا اردت معرفة اخبار الحرب السيبرانية ما بين روسيا 🇷🇺 و اوكرانيا 🇺🇦 تابع سلسلة التغريدة ادناه ⚡️
الاوضاع الجيوسياسية ما بين روسيا 🇷🇺 اوكرانيا 🇺🇦متوتره ، وفي ١٤/١/٢٠٢٢ حدث هجوم سيبراني تدميري باستخدم برمجية WhisperGate…
#الامن_السيبراني #CyberSecurity
15/1

اداء الهجوم الى خروج اكثر الخدمات عن العمل وتعطل في البنية التحتية واضرار اقتصاديه وارباك عسكري وخوف، لذلك دعونا نتعرف على هذه المجموعة وانشطتها وتحركاتها وبعض الافراد العاملين معاه بعد ملاحقتهم دوليًا.
14/2

وتشير تقارير متعدده ان ٥ اعضاء من هذه المجموعة معروفين لدى بعض الاستخبارات في بعض الدول.
اما بنسبة لعدد الهجمات التي نفذتها على اوكرانيا 🇺🇦 تقدر ب ٥٠٠٠ هجمة 😣 ناجحة. وكما واستهدفت هذه المجموعة اكثر من ١٥٠٠ جهة حكومية،
14/3

وكما تم اختراق وتشويه بعض المواقع الحكومية، ويقف خلف هذه الهجمات مجموعةGamaredon،وهذه المجموعة منذ عام ٢٠١٣ وتركيزها بشكل كبير على شن حملات ع اوكرانيا 🇺🇦
والتي لديها بنية تحتية ضخمة لشن عملياتها.
والتي تقدر بي:
-٧٠٠ نطاق domain
-٢١٥ معرف IP address
-١٠٠ برمجية ضارة malware
14/4

وكما تركز المجموعة بشكل كبير على الاهداف الحكومية والعسكرية والصحافة والقانون والقطاع الخاص و وزارة الخارجية الاوكرانية وذلك بهدف:
- السيطرة على البنية التحتية
- الحصول على المعلومات
-التدمير او التشويه للمواقع
14/5

وذلك بغرض الارباك،وكما ان المجموعة تحاول استغلال الاضطرابات واخرها بداية الجائحة واستخدامها لعمليات احتيال وارفاق ملفات تصيدية.
14/6

سأقوم بتلخيص احد الهجمات التي يقوموا بها من خلال رسائل تصيدية، وعندما يقوم الضحية :
- فتح البريد
- فتح المرفقات
- تمكين المايكرو
- تثبيت البرمجية الضارة
- التحكم والسيطرة
- التنقل داخل المنظمة
#نمدجة التهديد
14/7

والجدير بالذكر ان المجموعة بعد عملية اختراقها تقوم في نهايه الاختراق باستخدم:
- بريد احتيالي مشابه لبريد حقيقي
- موقع احتيالي مشابه لموقع حقيقي
- برمجيات احتيالية مشابهه لبرمجيات مساعده عن بعد.
- استخدم البرمجيات ادارة الشبكات لاغراض ضارة
14/8

لذلك من اهم النقاط الواجب التركيز عليها هي ان المجموعة تركز في منطلق هجماتها على البريد وتفعيل المايكرو لذلك وجود التوعيه الكاملة وكذلك تفعيل خدمات حماية البريد المتعارف عليها تخفف باذن الله من مثل هذه الهجمات.
14/9

في حال عدم وجود اي معلومات هامه على النظام المخترق تقوم المجموعة بحذف جميع الملفات من على النظام، ووضع رسالة على سطح المكتب كما في الصورة ادنا ورسالة مضمونها (لقد كنا هنا…)
14/10

وكما ان الادوات والبرمجيات المستخدمه متطوره جداً(وبعضها مبني على ان يكون Fileless)وذلك بهدف اعطاء المهاجم اكثر حرية وقدرة على التحكم والسيطرة على النظام المخترق، وبعضها مبني.Netوبعد عملية الاختراق يقوم بجمع:
-نوع النظام
-برامج الحماية المثبته
-ارسال الاوامر
-استقبال النتائج
14/11

وكما ان المحللين حينما قاموا بتحليل بعض الرسائل المزيفه و البرمجيات وملفات المايكرو وجود وجود اخطاء متعدده في اللغة الانجليزية، مما يعطي دلاله ع ضعف في لغتهم، وكما يعتبر لدينا دليل لابد من نقله للمستخدمين ان يحذرو من مثل هذه الرسائل الاحتيالية.
14/12

وكما تستخدم المجموعة ثغرات متعدده من اشهرها:
- Outlook macros
-CVE-2018-20250
-CVE-2017-0199
ومن البرمجيات الضارة:
-EvilGnome
-novel
-Pteranodon
14/13

وكما ان المجموعة تم رصد اكثر الانشطة الخاصة بهم وحصر مؤشرات الاختراق من قبل شركة بالوالتوا، ومرفق هذا التقرير كمصدر للمؤشرات: unit42.paloaltonetworks.com
وهنا مصدر اخر عن المجموعة: ria.ee
مصدر اخر: trendmicro.com
مصدر اخر: symantec-enterprise-blogs.security.com
14/14