تستمر عمليات التصيد في التطور، حيث تسعى مجموعة GS7 لاستهداف كبرى الشركات من خلال تقليد علاماتها التجارية.
تهدف مجموعة تهديدات غامضة تُعرف باسم GS7 إلى استهداف شركات Fortune 500 من خلال حملة تصيد واسعة النطاق، حيث يتم استخدام العلامات التجارية الخاصة بالشركات ضدها من خلال مواقع مزيفة تهدف إلى جمع بيانات الاعتماد.
تُعرف هذه الحملة باسم عملية DoppelBrand، وهي مستمرة منذ فترة، حيث تم رصدها لأول مرة بين ديسمبر ويناير. ومع ذلك، فإن تاريخ المجموعة يمتد إلى عام 2022، وفقًا لوثيقة بيضاء نشرتها SOCRadar اليوم.
تستهدف الحملة مؤسسات مالية كبرى، بما في ذلك Wells Fargo وUSAA وNavy Federal Credit Union وFidelity Investments وCitibank، بالإضافة إلى شركات التكنولوجيا والرعاية الصحية والاتصالات في جميع أنحاء العالم.
السر وراء نجاح عملية DoppelBrand هو بنية تصيد متطورة يتم تدويرها باستمرار من قبل GS7، ومصممة لتقليد بوابات تسجيل الدخول الشرعية، مما يعكس العلامات التجارية الرسمية بدقة غير مسبوقة. وهذا يجعل من الصعب على الضحايا اكتشاف الاحتيال، وفقًا لـ SOCRadar.
تتطلب عملية الاحتيال عملاً كبيرًا على الواجهة، لاختيار الأهداف وبناء صفحات مقنعة، بالإضافة إلى إعداد البنية التحتية لشن الهجمات، وفقًا للباحثين. في الواقع، سجل المهاجم أكثر من 150 نطاقًا ضارًا في الأشهر الأخيرة فقط، مستخدمًا مسجلي نطاقات مثل NameCheap وOwnRegistrar، وتوجيه حركة المرور عبر Cloudflare لإخفاء الخوادم الخلفية.
نشاط وسطاء الوصول الأولي المتطور
بمجرد جمع بيانات الاعتماد، بما في ذلك أسماء المستخدمين وكلمات المرور، وعناوين IP وبيانات الموقع، وبصمات الأجهزة والمتصفحات، وتواريخ التسجيل، يتم على الفور تسريبها إلى روبوتات Telegram التي يتحكم بها المهاجم. حدد الباحثون مجموعة Telegram بعنوان “NfResultz by GS” التي يعتقدون أنها تديرها المجموعة.
تشمل أهداف GS7 ليس فقط جمع بيانات الاعتماد، ولكن أيضًا تحميل أدوات الإدارة والمراقبة عن بُعد (RMM) على أنظمة الضحايا لتمكين الوصول عن بُعد أو نشر البرمجيات الضارة. في الواقع، تعتقد SOCRadar أن المجموعة قد تعمل أيضًا كوسيط وصول أولي (IAB)، تبيع الوصول إلى البنية التحتية لمجموعات الفدية أو الشركات التابعة الأخرى.
استهداف الناطقين باللغة الإنجليزية لسرقة بيانات الاعتماد
ركزت GS7 بشكل أساسي على الأسواق الناطقة باللغة الإنجليزية في الأشهر الأخيرة، حيث كانت الولايات المتحدة هي الهدف الأكبر بلا منازع. وفي الوقت نفسه، توسعت المجموعة وتحافظ على نشاط DoppelBrand في أوروبا ومناطق أخرى.
تستهدف مجموعة التهديد بشكل عام شركات Fortune 500 وغيرها من “الكيانات ذات القيمة العالية” مع نطاق جغرافي واسع. “في الهجمات الأخيرة، تم تحديد أصول ونطاقات وسجلات مرتبطة بشركات مختلفة تعمل في قطاعات ومواقع متنوعة جدًا،” وفقًا للوثيقة البيضاء.
شخص يدعي أنه عضو في GS7 أخبر باحثي SOCRadar أن المجموعة تعمل منذ ما يقرب من عقد من الزمان، وقدم لقطات شاشة للوحة تصيد تحمل علامة المجموعة كدليل على نشاطها الطويل الأمد، وفقًا للوثيقة البيضاء. كما قدم الفرد عرضًا توضيحيًا لعملية تصيد مع بوابة تقلد Fidelity، مما أدى إلى تحميل أدوات RMM بمجرد إكمال نموذج تسجيل الدخول.
لم يحدد الباحثون مكان وجود المجموعة، على الرغم من أنهم اكتشفوا روابط بين GS7 ومنتديات الجريمة الإلكترونية البرازيلية حيث تم تداول بيانات الاعتماد المسروقة والبيانات المالية. “تمثل هذه الأماكن مواقع رئيسية لبيع المعلومات التي تم جمعها أو الحصول على بيانات لتغذية حملات أخرى،” وفقًا للوثيقة البيضاء.
استمرار تطور التصيد
إن استمرار نشاط GS7 لسنوات وجمعها لبنية تحتية كبيرة لعملية التصيد الخاصة بها دون أن يلاحظ الباحثون الأمنيون حتى الآن هو شهادة على استمرار تعقيد عمليات التصيد المنظمة.
تجعل تقليد العلامات التجارية المقنع بشكل خاص صفحات التصيد الخاصة بها صعبة الاكتشاف، ولكن يجب على الناس أن يكونوا حذرين لاتخاذ خطوات لضمان أنها الموقع الأصلي عند تسجيل الدخول إلى الصفحة الرئيسية لمؤسسة مالية. يمكنهم القيام بذلك من خلال إعداد المصادقة متعددة العوامل (MFA) وممارسة سلوك آمن عبر الإنترنت بشكل عام.
لمساعدة المدافعين على تتبع أنشطة عملية DoppelBrand وGS7، قدمت SOCRadar قائمة شاملة من التكتيكات والتقنيات والإجراءات (TTPs) ومؤشرات الاختراق (IoCs) لكل من الحملة والمجموعة في وثيقتها البيضاء.
تعتبر عملية DoppelBrand مثالًا على كيفية تطور التهديدات الإلكترونية، مما يتطلب من المؤسسات اتخاذ تدابير أمان متقدمة.
