منظمة APT33 تستهدف صناعات النفط والمنشئات العسكرية بشكل مكثف

أكتشاف العديد من الـ Botnets التابعة لمنظمة APT33 تستهدف صناعات النفط والمنشئات العسكرية بشكل مكثف في الشرق الأوسط وأمريكا وآسيا. حيث تم الإبلاغ عن منظمة APT33 بإستمرار لسنوات عديدة، وقد تم تتبع مواقع السيرفرات المُستخدمة في الـ Botnets من قبل شركة Trend Micro وقد صرحت الشركة بتاريخ 13 نوفمبر2019. بأن النتائج التي تم التوصل إليها مؤخرًا تشير إلى أن المجموعة كانت تستخدم نحو 12 خادمًا من الأوامر والتحكم المباشر C&C – Command and Control للإستهداف الضيق للغاية.

وصرحت الشركة بأن بعض الأجهزة المُصابة تضمنت شركات وأفراد يعملون في أماكن حساسة ومن تلك الشركات، شركة أمريكية خاصة تقدم خدمات الأمن القومي، ومن الأجهزة المخترقة أيضاً تم إكتشاف جهاز لأحد الأفراد يعمل لدى الجيش الأمريكي، وضحايا آخرين متصلين من جامعات وكليات أمريكية.

ومن إحدى الطرق التي تستخدمها منظمة APT33 للتخفي ولكي لايتم إكتشافها، إستخدام البوت نت بشكل مُصغر حيث أن البوت نت يحتوي على عدد قليل من الضحاياً ويتم الإتصال بخوادم C&C عن طريق الـ VPN ويتم تغير نقطة الخروج Exit Nodes بشكل مُستمر.

ويتم إستهداف الضحايا عن طريق البريد الألكتروني وتحديداً الأفراد الذين يعملون في شركات النفط عن طريق إستخدام هجوم يُسمى Spear phishing حيث يتم إرسال بريد إلكتروني للضحايا يحتوي على فرص عمل وهمية في تلك الشركات.

هذه القائمة تحتوي على عناوين البريد الإلكتروني وعنوان الموضوع المُستخدم في الهجوم.

كما نلاحظ أول بريدين تنتهي بي com .aero. حيث تم إستخدام هجوم Spoofing من قبل منظمة APT33 لكي يتم إخفاء البريد الأساسي وإستبدال الدومين بدومين آخر لكي يظهر بأن المٌرسل موظف يعمل في تلك الشركات.

حيث تقوم المنظمة بالتخفي عن طريق الـ VPN ويتم تغير نقطة الخروج Exit Nodes بشكل مُستمر وتقوم بالتالي:

  • الإتصال بالبوت نت بشكل مخفي.
  • عمل RECONNAISSANCE او مايسمى بالفحص لشركات تكرير النفط والمنشئات العسكرية بشكل مخفي.
  • الدخول للبريد الألكتروني ومواقع العملات الرقمية بشكل مخفي .
  • قراءة مواقع ومنتديات الهاكرز بشكل مخفي.

Indicators of Compromise

المصدر:

https://blog.trendmicro.com/trendlabs-security-intelligence/more-than-a-dozen-obfuscated-apt33-botnets-used-for-extreme-narrow-targeting/

عن ns339

شاهد أيضاً

أكثر من مليون من مستخدمي Google Chrome يتأثرون بـ Cookie Stuffing عن طريق اشهر اضافتين Adblock في كروم

ماهو الـ Cooki Stuffing ؟ يتم حشو ملفات تعريف الارتباط (Cookies) عندما يضع موقع الويب …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *