MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
CAPTCHA

Strategic Opportunity or Silent Backdoor


حملة تصيّد تستهدف المدراء الماليين باستخدام أداة NetBird في ست مناطق حول العالم

كشف باحثون من شركة Trellix للأمن السيبراني عن حملة تصيّد موجهة بدقة استهدفت كبار المسؤولين الماليين (CFOs) والتنفيذيين في قطاعات البنوك والطاقة والتأمين والاستثمار في مناطق تشمل أوروبا، إفريقيا، كندا، الشرق الأوسط، وجنوب آسيا. الحملة اعتمدت على أداة NetBird الشرعية، والتي تعتمد على بروتوكول WireGuard، لتمكين المهاجمين من الوصول إلى أجهزة الضحايا عن بُعد دون إثارة الشبهات.

أسلوب الهجوم: خداع احترافي متعدد المراحل

تبدأ الحملة برسالة بريد إلكتروني تنتحل هوية مسؤول توظيف من شركة Rothschild & Co، وتعرض فرصة استراتيجية للانضمام إلى الشركة. تحتوي الرسالة على مرفق يُفترض أنه ملف PDF، لكنه في الحقيقة رابط تصيّد يستضيفه تطبيق Firebase.

الموقع يطلب من الضحية تجاوز اختبار CAPTCHA مزيف، وبعدها يُفعَّل سكربت JavaScript يقوم بفك تشفير رابط حقيقي مخفي داخل الصفحة باستخدام مفتاح مضمن، ليقود المستخدم لتنزيل أرشيف ZIP يحتوي على سكربت VBScript خبيث.

من ZIP إلى اختراق كامل

السكربت الأولي يقوم بجلب سكربت ثانوي من خادم خارجي وتشغيله عبر wscript.exe، والذي بدوره يحمل ملفاً آخر يُعاد تسميته إلى trm.zip ويحتوي على أداتي NetBird وOpenSSH.

المرحلة الأخيرة تشمل تثبيت الأدوات على الجهاز، إنشاء حساب مخفي، تفعيل الوصول عن بُعد، وجدولة مهمة لتشغيل NetBird تلقائياً عند الإقلاع، بالإضافة إلى حذف أي اختصارات قد تثير انتباه الضحية.

تكتيكات متقدمة وتخفي فعّال

الحملة تُظهر مستوى عالٍ من التخطيط واستخدام أدوات شرعية لتفادي أنظمة الحماية، وهو تكتيك متكرر في الهجمات الحديثة التي تعتمد على أدوات مثل ConnectWise وAtera وSplashtop للتخفي ضمن أنشطة اعتيادية.

نشاط متواصل وعمر طويل

رصدت Trellix عنوان URL يعيد توجيه الضحايا إلى نفس الحمولة الخبيثة وقد ظل نشطاً لأكثر من عام، ما يشير إلى أن هذه الحملة قد تكون بدأت منذ فترة طويلة دون اكتشافها.

تطور كبير في مشهد التصيّد

تزامناً مع هذه الحملة، تم الكشف عن هجمات أخرى تستغل خدمات موثوقة مثل Notion، Google Apps Script، وCAPTCHA مزيفة لخداع المستخدمين وسرقة بيانات تسجيل الدخول من خلال واجهات تبدو شرعية.

صعود خدمات التصيّد كخدمة (PhaaS)

كشفت Trustwave عن تفاصيل منصتي Tycoon وDadSec (المعروفة أيضاً بـ Phoenix) واللتان تقدمان خدمات التصيّد بشكل آلي. أبرز المنصات الجديدة هي Haozi، التي تقدم لوحة تحكم جاهزة للمهاجمين بإعلانات مدفوعة ودعم فني عبر تيليجرام، مما يجعلها مغرية للهواة والمبتدئين.

التوصيات الأمنية

  • تدريب الموظفين على كشف أساليب التصيّد الاجتماعي المتقدمة.
  • التحقق من الروابط والمرفقات وعدم الوثوق بمصادر غير رسمية.
  • مراجعة الصلاحيات الممنوحة للتطبيقات المرتبطة بالحسابات.
  • مراقبة المهام المجدولة والحسابات الجديدة في النظام.

الختام

تعكس هذه الحملة تغيراً في تكتيكات الخصوم، بالانتقال من أدوات خبيثة صريحة إلى الاعتماد على أدوات مشروعة لفرض اختراق طويل الأمد. هذه التهديدات تتطلب جهوزية تقنية، ووعياً بشرياً لمواجهتها بفعالية.