«إسيت»: مجموعة Gamaredon تستهدف مايكروسوفت اوت لوك واوفيس

اكتشف الباجثون في شركة «إسيت» أدوات جديدة تستخدمها مجموعة Gamaredon في أحدث حملاتهم الخبيثة. تستهدف الأداة الأولى برنامج مايكروسوفت اوت لوك عبر استخدام البرنامج المخصص Microsoft Outlook Visual Basic for Applications (VBA) ويسمح للمهاجمين باستخدام حساب البريد الإلكتروني للضحية لإرسال رسائل بريد إلكتروني واسعة التصيد إلى جهات الاتصال في دفتر العناوين. ونادرًا ما وجد الباحثون استخدام وحدات أوت لوك ماكرو تقدم البرامج الضارة. يتم استخدام الأداة الثانية من قبل “مجموعات التهديدات المستمرة المتقدمة” APT النشطة الشهيرة لحقن وحدات الماكرو والمراجع إلى القوالب البعيدة في مستندات اوفيس –وورد وإكسيل. كلاهما مصمم لمساعدة مجموعة Gamaredon الخبيثة على الانتشار بشكل أكبر في الشبكات التي تم اختراقها بالفعل.

وصرح “جان إيان بوتين”، رئيس قسم أبحاث التهديدات في «إسيت»، وقال: “في الأشهر القليلة الماضية، كانت هناك زيادة في نشاط هذه المجموعة مع موجات مستمرة من رسائل البريد الإلكتروني الضارة التي تصل إلى صناديق بريد أهدافهم. إن مرفقات رسائل البريد الإلكتروني هذه عبارة عن مستندات تحتوي على وحدات ماكرو خبيثة تعمل عند تنفيذها على تنزيل العديد من البرامج الضارة المختلفة.”

تعمل أحدث الأدوات على إدخال وحدات ماكرو ضارة أو مراجع للنماذج البعيدة في المستندات الموجودة على النظام الذي تمت مهاجمته، وهي طريقة فعالة للغاية للتنقل داخل شبكة الشركة، حيث تتم مشاركة المستندات بشكل روتيني بين الزملاء. علاوة على ذلك، وبفضل الوظيفة الخاصة التي تتلاعب بإعدادات أمان الماكرو لمايكروسوفت اوفيس، لا يملك المستخدمون المتأثرون أي فكرة أنهم يقومون مرة أخرى باختراق محطات العمل الخاصة بهم كلما قاموا بفتح المستندات.

تستخدم المجموعة الأبواب الخلفية وسرقة الملفات بهدف تحديد وجمع المستندات الحساسة على النظام المخترق ليتم تحميلها على خادم C&C. ويتمتع وسطاء الملفات هؤلاء بالقدرة على تنفيذ تعليمات برمجية عشوائية من خادم C&C.

هناك تمييز رئيسي واحد بين Gamaredon ومجموعات APT الأخرى – المهاجمون يبذلون جهدًا بسيطًا في الإختفاء بعيدًا عن الكشف. على الرغم من أن أدواتهم لديها القدرة على استخدام تقنيات أكثر قدرة على الإختفاء، لكن يبدو أن تركيز المجموعة الرئيسي هو الانتشار لأبعد وأسرع ما يمكن في شبكة أهدافهم أثناء محاولة استخراج البيانات.

وأوضح “بوتين”حول اكتشاف «إسيت»: “إن إساءة استخدام صندوق بريد تم اختراقه لإرسال رسائل بريد إلكتروني ضارة دون موافقة الضحية ليست تقنية جديدة، نعتقد أن هذه هي أول حالة موثقة علنًا لمجموعة هجوم تستخدم ملف OTM واوت لوك ماكرو لتحقيق ذلك. تمكنا من جمع العديد من العينات المختلفة من النصوص الخبيثة والملفات التنفيذية والمستندات التي تستخدمها مجموعة Gamaredon طوال حملاتهم.”

سلسلة التسوية النموذجية في حملة Gamaredon

مجموعة Gamaredon نشطة منذ عام 2013 تقريبًا. وكانت مسؤولة عن عدد من الهجمات معظمها ضد المؤسسات الأوكرانية.

تم الكشف عن الأدوات التي تمت مناقشتها في هذا البحث كمتغيرات من MSIL/Pterodo أو Win32/Pterodo أو Win64/Pterodo بواسطة منتجات «إسيت».