- يتواصل المتسللون إلى الشركات عبر نموذج “الاتصال بنا”
- ثم يتحدثون مع الضحايا لأسابيع قبل نشر البرامج الضارة
- يهاجم المتسللين بأوراق خلفية مصممة خصيصًا
حذر الخبراء من أن الخبراء من مجرمي الإنترنت يحاولون توصيل البرامج الضارة للورق الخلفي إلى المنظمات التي تتخذ من الولايات المتحدة من خلال خداعها لتوقيع اتفاقيات عدم الكشف المزيفة (NDA).
أوضح تقرير جديد صادر عن Check Provessers Points Check Check كيف في الحملة ، ويشكل الأوغاد كشركة مقرها الولايات المتحدة ، تبحث عن شركاء وموردين ومماثلة.
في كثير من الأحيان ، يشترون المجالات المهجورة أو النائمة مع تاريخ الأعمال المشروعة لتبدو أصيلة. بعد ذلك ، يتواصلون مع الضحايا المحتملين ، ليس عبر البريد الإلكتروني (كما هو الحال في الممارسة المعتادة) ولكن من خلال نماذج “الاتصال بنا” أو غيرها من قنوات الاتصال المقدمة على الموقع.
إسقاط mixshell
عندما يعود الضحايا إلى استفسارهم ، يكون عادة عبر البريد الإلكتروني ، والذي يفتح الأبواب لتقديم البرامج الضارة.
ومع ذلك ، فإن المهاجمين لا يفعلون ذلك على الفور. بدلاً من ذلك ، يقومون ببناء علاقة مع الضحايا ، ويذهبون ذهابًا وإيابًا لأسابيع حتى ، عند نقطة ما ، يطلبون من ضحاياهم التوقيع على NDA المرفق.
يحتوي الأرشيف على اثنين من المستندات ، بما في ذلك ملفات PDF النظيفة و DOCX لرمي الضحايا ، وملف .lnk ضار يؤدي إلى تشغيل محمل قائم على PowerShell.
ينشر هذا المحمل في نهاية المطاف بابًا خلفيًا يسمى Mixshell ، وهو عبارة عن عملية زرع مخصصة في الذاكرة تتميز بأمر ومراقبة قائم على DNS (C2) وآليات الثبات المحسنة.
لم يناقش Check Point عدد الضحايا المحتملين ، لكنه قال إنهم في العشرات ، يختلفون في الحجم والجغرافيا والصناعات.
تقع الغالبية (حوالي 80 ٪) في الولايات المتحدة ، مع سنغافورة واليابان وسويسرا ، لديها أيضًا عدد ملحوظ من الضحايا. الشركات في الغالب في التصنيع الصناعي ، والأجهزة وشؤمية الموصلات ، والسلع والخدمات الاستهلاكية ، والتكنولوجيا الحيوية و Pharma.
“يشير هذا التوزيع إلى أن المهاجم يسعى إلى نقاط الدخول عبر الصناعات الغنية التشغيلية وسلسلة التوريد الحرجة بدلاً من التركيز على عمودي معين” ، كما يقول Check Point.
لم يستطع الباحثون أن ينسبوا الحملة بثقة إلى أي ممثل معروف للتهديد ، لكنهم قالوا إن هناك أدلة تشير إلى حملة Transferloader ، ومجموعة مجرمية إلكترونية تتبعها unk_greensec.
عبر السجل
