هجمات الكترونية تستهدف مواقع الكرتونية تابعة للحكومة اللبنانية وحكومة الإمارات العربية المتحدة و شركة طيران الشرق الأوسط اللبنانية


قامت مجموعة تالوس الاستخباراتية التابعة لشركة سيسكو Cisco’s Talos Intelligence Group  بالكشف عن  تفاصيل حملة هجمات الكترونية من مجموعة قراصنة  مجهولة  تستهدف المجالات الحكومية في لبنان والإمارات العربية المتحدة ، بالإضافة إلى شركة طيران الشرق الأوسط اللبنانية ، وزعمت تالوس أن المهاجمين بدوا على ما يبدو انهم قد درسوا شبكات ضحاياهم المقصودين كفاية  لتغطية اثارهم.

وقال الباحثان وارن ميرسر Warren Mercer  وبول راسكاجنيرس Paul Rascagneres إن الحملة التي أطلقوا عليها اسم DNSpionage تبدو وكأنها مجموعة جديدة غير مرتبطة بأي هجمات مشابهة سابقة.

حيث تم استخدام موقعين مزيفين خبيثين في الحملة لاستهداف الضحايا المحتملين باستخدام ملفات مايكروسوفت اوفيس  Microsoft Office  خبيثة  محملة بوحدات ماكرو macros مضمنة.

وبصرف النظر عن الهجمات المذكورة أعلاه ، استخدم المهاجمون أيضًا عنوان الاي بي IP نفسه لإعادة توجيه  نظام أسماء النطاقات  (DNS  )  لمجالات   .gov الاصلية  والنطاقات الخاصة ، مع إنشاء شهادات certificates   بعناية للمجالات التي تمت إعادة  توجيهها.

وكتب كل من ميرسر وراسكاجنيرس قائلين : ” “أثناء كل خرق لـ DNS ، أنتج المهاجم و بعناية شهادات من ليتس اينركيبت  Let’s Encrypt certificates للنطاقات التي تمت إعادة توجيهها. تقدم ليتس اينركيبت  شهادات X.509 لـ TLS مجانًا للمستخدمين. ولا نعرف في الوقت الحالي ما إذا كانت عمليات إعادة توجيه ال DNS ناجحة”.

كانت المواقع الخبيثة المستخدمة هي   hr-wipro [.] com  و  hr-suncor [.] com  والتي أعيدت التوجيه إلى  wipro.com  و   suncor.com  .

“واضاف الباحثين:” قي هذا الوقت ، لا نعرف كيف حصل الهدف على هذه الروابط. على الأرجح أن المهاجمين أرسلوا  مستند ضار عبر البريد الإلكتروني كجزء من حملة التصيد الاحتيالي spear-phishing ، ولكن كان من الممكن أيضًا أن يكون قد تم تداوله عبر وسائط التواصل الاجتماعي ، مثل موقع  LinkedIn  في محاولة لإضفاء الشرعية على فرصة لحصول على وظيفة جديدة” .

أحد مواقع (نطاق Domain) الحكومة اللبنانية التي تم استهدافها كان يتبع لوزارة المالية.

واضاف ميرسر وراسكاجنيرس : ” “نحن واثقون جدا من أن هاتين الحملتين جاءتا من نفس المهاجمين” ، “ومع ذلك ، لا نعرف الكثير عن موقع الجهات الفاعلة ودوافعها بالضبط. من الواضح أن  المهاجمين   تمكنوا من إعادة توجيه DNS من المجالات المملوكة للحكومة في بلدين مختلفين على مدار شهرين ، وكذلك شركة طيران لبنانية وطنية”.

واضافوا: “لقد تمكنوا من العمل من وجهة نظر النظام باستخدام برامج ضارة  تعمل على نظام الويندوز Windows malware ، بالإضافة إلى الشبكة ، باستخدام  يعرف  بترشيح  نظام أسماء النطاقات  exfiltration DNS وإعادة التوجيه. ليس من الواضح ما إذا كانت هجمات إعادة توجيه DNS ناجحة ، لكن المهاجمين استمروا في جهودهم بإطلاق خمسة هجمات حتى الآن هذا العام ، بما في ذلك واحدة من الهجمات في الأسبوعين الماضيين “.

 

 

 

المصدر:

https://www.itwire.com/security/85423-new-campaign-targets-lebanese-and-uae-government-sites.html

ان كان لديكم اي استفسار او سؤال الرجاء مراسلتنا عبر التعليقات في اسفل الشاشة

للتعليقات

هذا الموقع يستخدم Akismet للحدّ من التعليقات المزعجة والغير مرغوبة. تعرّف على كيفية معالجة بيانات تعليقك.

%d مدونون معجبون بهذه: