هجمات سيبرانية تستهدف شركات الطيران

Malwarebytes كشفت مؤخرا عن أنشطة خبيثة تنتمي إلى هاكر لم يتم التعرف عليه من قبل. تم تسمية هذا الهاكر المجهول باسم LazyScripter وهو نشط منذ عام 2018.

ما الذي تم اكتشافه؟

في أواخر ديسمبر 2020، لاحظ الباحثون بعض الوثائق الخبيثة المحقونة بفايروسات تم إنشاؤها لاستهداف الباحثين عن عمل. تم استخدام هذه الملفات (VBScript or batch files) بواسطة مجموعة APT سابقاً.

  • وتستهدف مجموعة التهديد هذه الاتحاد الدولي للنقل الجوي (IATA) وشركات الطيران التي تستخدم برنامج BSPLink. وبالإضافة إلى ذلك، استهدفت الضحايا الذين يتطلعون إلى الهجرة إلى كندا بحثاً عن فرص عمل.
  • لوحظ أنها تقوم بتحميل فايروسات RATs ، مثل LuminosityLink ، Quasar ، RMS njRat ، و Remcos ، والتي تستخدم من قبل مجموعات القرصنة المتعددة.

تغيير في أدوات الهجوم

في الماضي ، استخدمت المجموعة في الغالب رسائل البريد الإلكتروني غير المرغوب فيها (Spam Emails) محملة بملفات محقونة بفايروسات مثل (Empoder، KOCTOPUS malware) مرفقة كطريقة للإستغلال .
مع مرور الوقت ، استخدمت المجموعة أنواع ملفات متعددة كإغراءات التصيد الأولي وتغيير مجموعة الأدوات الرئيسية من PowerShell Empire إلى إضافة ( Octopus and Koadic Malware).

استخدام GitHub لتحميل أدوات الأختراق

استضافت مجموعة LazyScripter أدواتها على GitHub – وهو تكتيك سبق استخدامه من قبل مجموعة APT المرتبطة بإيران.

في يناير، أنشأت المجموعة حسابين LIZySARA و Axella49 في GitHub ، وحذفتهما في الشهر نفسه.
في وقت لاحق ، أنشأت المجموعة حسابًا آخر بأسم (OB2021) لرفع أدوات الأختراق وتم حذف هذا الحساب من GitHub.

استخدام أدوات أختراق مفتوحة المصدر يبين مدى ذكاء هذه المجموعة التي تستخدم الأدوات المتاحة تجاريا، والجمع بين كل هذه الاستراتيجيات يجعل هذه المجموعة تشكل خطر واضح.

المصدر

عن ns339

error: Content is protected !!