UNC6692: دمج الهندسة الاجتماعية والبرمجيات الخبيثة واستغلال السحاب

تتزايد التهديدات السيبرانية بشكل مستمر، ويظهر فاعل تهديد جديد يُعرف باسم UNC6692 يجمع بين تقنيات متعددة لشن هجمات معقدة.

يعمل فاعل تهديد جديد على دمج تقنيات الهندسة الاجتماعية، واستغلال البنية التحتية السحابية الشرعية، والبرمجيات الخبيثة المخصصة معًا لإنشاء سلسلة هجمات جديدة.

نشر فريق جوجل للاستخبارات التهديدية (GTIG) وMandiant في 23 أبريل منشورًا مدونة يوضح أنشطة فاعل تهديد يُعرف باسم UNC6692. بينما لم يُنسب الباحثون فاعل التهديد إلى أي هوية أو موقع معروف سابقًا (وصفوه فقط بأنه “مجموعة تهديد جديدة تم تتبعها”)، فقد وصفوا حملة اختراق متعددة المراحل تستفيد من كل من الهندسة الاجتماعية المستمرة والبرمجيات الخبيثة المخصصة.

تشمل الهجمات أيضًا استغلال البنية التحتية السحابية الشرعية على شكل دلو S3 من AWS.

أخبر متحدث باسم جوجل Dark Reading أنه بناءً على تكتيكات المهاجمين وتقنياتهم وإجراءاتهم (TTPs) الملاحظة، يشتبه الباحثون في أن UNC6692 مدفوع ماليًا. “تبدو عملياتهم مركزة على الوصول وسرقة بيانات الاعتماد لمزيد من الإجراءات،” أضاف مؤلفو المدونة.

مرتبط: التنقل في المخاطر الأمنية الفريدة لسلسلة التوريد الرقمية في آسيا

سألت Dark Reading عن نقطة انطلاق المهاجم، ولكن نظرًا لأنه استخدم بنية AWS، لم تتمكن جوجل من الحصول على أدلة تشير إلى إمكانية تحديد الهوية.

سلسلة هجمات UNC6692

في أواخر ديسمبر، نفذ UNC6692 حملة حيث أغرق صندوق بريد هدفه برسائل البريد الإلكتروني قبل الاتصال بهم عبر Microsoft Teams، متظاهرًا بأنه موظف دعم فني مكلف بإصلاح المشكلة. قدم المهاجم رابط تصيد عبر رسالة Teams، مما دفع الهدف للنقر على رابط يقوم بتثبيت تصحيح محلي لإصلاح ومنع الرسائل المزعجة.

نقر الهدف على الرابط وفتح صفحة HTML التي “حمّلت في النهاية ثنائي AutoHotKey معاد تسميته وسكربت AutoHotkey، يحملان نفس الاسم، من دلو S3 تحت سيطرة فاعل التهديد.”

“إذا كان ثنائي AutoHotkey يحمل نفس اسم ملف السكربت في دليلها الحالي، فإن AutoHotkey سيقوم تلقائيًا بتشغيل السكربت دون الحاجة إلى أي وسائط سطر الأوامر،” قرأت المدونة. “تم تسجيل دليل تنفيذ AutoHotKey مباشرة بعد التنزيلات مما أدى إلى أوامر استكشاف أولية وتثبيت SNOWBELT، وهو ملحق خبيث لمتصفح Chromium (لم يتم توزيعه عبر متجر Chrome).”

من خلال ملحق Snowbelt المثبت الآن على جهاز الكمبيوتر الخاص بالمستخدم، قام UNC6692 بتنزيل نفق بايثون Snowglaze، وSnowbasin (وهو باب خلفي دائم لتنفيذ التعليمات البرمجية عن بُعد)، وسكربتات AutoHotkey، و”أرشيف ZIP يحتوي على تنفيذ بايثون محمول والمكتبات المطلوبة.”

مرتبط: مايكروسوفت، Salesforce تصحح عيوب تسرب بيانات وكيل الذكاء الاصطناعي

بمجرد أن حصلوا على الوصول الأولي، استخدم المهاجم سكربت بايثون لمسح الشبكة المحلية بحثًا عن المنافذ 135 و445 و3389 وتعداد حسابات المسؤول المحلية. ثم استخدموا حساب مسؤول محلي لبدء جلسة بروتوكول سطح المكتب البعيد (RDP) عبر Snowglaze من نظام الضحية إلى خادم النسخ الاحتياطي.

الآن مع الوصول إلى خادم النسخ الاحتياطي، استخدم فاعل التهديد حساب المسؤول المحلي لاستخراج ذاكرة عملية LSASS الخاصة بنظام Microsoft Windows Local Security Authority Subsystem Service (LSASS). تُستخدم LSASS لتطبيق سياسة الأمان وتحتوي على جميع أسماء المستخدمين وكلمات المرور والتجزئات للحسابات التي وصلت إلى نظام الهدف. ثم قام UNC6692 باستخراج ذاكرة العملية عبر LimeWire قبل استخدام أدوات الأمان الهجومية لاستخراج بيانات الاعتماد دون خوف من الكشف.

أخيرًا، استخدم UNC6692 تقنية تمرير التجزئة للانتقال بشكل جانبي إلى وحدة التحكم في مجال الشبكة، مما أعد فاعل التهديد لمزيد من إعداد واستخراج البيانات ذات الاهتمام.

احتوى منشور جوجل على مؤشرات الاختراق (IOCs) وقواعد YARA.

UNC6692: نقاط يجب على المدافعين أخذها بعين الاعتبار

تقدم هجمات UNC6692 مزيجًا من الهندسة الاجتماعية، والتجنب التقني، واستراتيجية برمجيات خبيثة متعددة الجوانب. أبرزت جوجل “الاستغلال المنهجي للخدمات السحابية الشرعية لتسليم الحمولة والاستخراج، ولتحتوي على بنية القيادة والسيطرة (C2)،” على شكل دلو S3.

مرتبط: مايكروسوفت تستثمر 10 مليارات دولار لتعزيز الذكاء الاصطناعي والأمن السيبراني في اليابان

هذا الاستغلال، وفقًا لجوجل، يمكّن المهاجمين من تجاوز مرشحات سمعة الشبكة التقليدية والاندماج في حركة المرور السحابية الشرعية.

“يجب على المدافعين الآن النظر إلى ما وراء مراقبة العمليات للحصول على رؤية واضحة حول نشاط المتصفح وحركة المرور السحابية غير المصرح بها،” كتب المؤلفون. “مع استمرار المحترفين في التهديد في احتراف هذه المنهجيات المودولارية متعددة المنصات، ستكون القدرة على ربط الأحداث المتباينة عبر المتصفح، وبيئات بايثون المحلية، ونقاط خروج السحاب أمرًا حاسمًا للكشف المبكر.”

في بيان، أخبر متحدث باسم AWS Dark Reading أن الشركة تحظر استغلال منتجها في شروط الخدمة، وإذا كان أي شخص يشك في حدوث مثل هذا الاستغلال، يمكنه الإبلاغ عنه إلى AWS Trust & Safety من خلال النموذج المناسب.

“تحتوي AWS على شروط واضحة تحظر استخدام خدماتنا لانتهاك أمان أو سلامة أو توفر الآخرين،” يقول المتحدث. “عندما نتلقى تقارير عن انتهاكات محتملة لشروطنا، نتصرف بسرعة لمراجعة واتخاذ الإجراءات المناسبة.”

مع استمرار تطور أساليب الهجوم، يجب على المؤسسات تعزيز استراتيجيات الدفاع الخاصة بها لمواجهة هذه التهديدات المتزايدة.