حذرت دائرة الأمن والاستخبارات التقنية في أوكرانيا من موجة جديدة من الهجمات الإلكترونية التي تهدف إلى اختراق حسابات المستخدمين على Telegram.

“أرسل المجرمون رسائل تحتوي على روابط خبيثة إلى موقع تيليغرام الإلكتروني من أجل الوصول غير المصرح به إلى السجلات، بما في ذلك إمكانية نقل الرمز الأمني الذي يصل عبر الرسائل القصيرة والذي يمكن استخدامه لمرة واحدة فقط”، بحسب ما أفادت خدمة الدولة للاتصالات الخاصة وحماية المعلومات (SSSCIP) في أوكرانيا.

نُسبت الهجمات إلى مجموعة تهديدات تدعى “UAC-0094″، تقوم بنشر رسائل تحذيرية قادمة من Telegram تنبه المستلمين بأنه تم اكتشاف تسجيل الدخول إلى حسابهم من جهاز جديد موجود في روسيا، وتحث المستخدمين على تأكيد حساباتهم من خلال النقر على رابط.

هذا الرابط سيقوم بإيصال المستخدمين، من دون علمهم، إلى عنوان URL خبيث تم إعداده لتنفيذ هجمات التصيد الاحتيالي. يطلب الموقع من الضحايا إدخال رقم الهاتف بالإضافة إلى كلمة المرور الأمنية المعدة للاستخدام مرة واحدة فقط، والتي يتم إرسالها عبر الرسائل القصيرة. بمجرد كتابة الرمز الأمني على الموقع، سيتم استخدامه من قبل الجهات الخبيثة للسيطرة على حسابات تيليغرام.

الاستراتيجية المذكورة تشبه إلى حد بعيد هجوم التصيد الاحتيالي السابق الذي تم الكشف عنه في أوائل شهر مارس، والذي استفاد من حسابات بريد الكتروني مخترقة – تنتمي إلى كيانات هندية مختلفة – لإرسال رسائل تصيد احتيالي إلى مستخدمي Ukr.net بهدف اختطاف الحسابات.

 

موجة من الهجمات الإلكترونية عبر البريد الالكتروني

في سياق متصل، وفي حملة هندسة اجتماعية أخرى لاحظها فريق الاستجابة لطوارئ الحاسوب (CERT-UA) في أوكرانيا، تم إرسال رسائل بريد الكتروني ملغومة متعلقة بالحرب إلى الوكالات الحكومية الأوكرانية بهدف نشر برنامج ضار خاص بالتجسس.

تأتي رسائل البريد الإلكتروني هذه مرفقة بملف HTML بعنوان “مجرمو الحرب في الاتحاد الروسي.htm”. بمجرد الضغط عليه سيتم تنزيل وتفعيله برنامج خبيث يعتمد على PowerShell على جهاز الضحية.

فريق الاستجابة لطوارئ الحاسوب CERT-UA أرجع الهجوم إلى هرمجدون Armageddon، وهي مجموعة قرصنة روسية لها علاقة بجهاز الأمن الفيدرالي (FSB) ولها تاريخ كبير في استهداف الكيانات الأوكرانية منذ عام 2013 على الأقل.

في فبراير 2022، ارتبطت مجموعة القرصنة بهجمات التجسس التي استهدفت الحكومة والجيش والمنظمات غير الحكومية والقضاء ووكالات إنفاذ القانون والمنظمات غير الهادفة للربح، وذلك بهدف سرقة المعلومات الحساسة بشكل رئيسي.

 

هجمات جديدة ومتنوعة

من جهة ثانية، قامت حملات التصيد الاحتيالي الأخرى التي وثقتها CERT-UA في الأسابيع الأخيرة بنشر مجموعة متنوعة من البرامج الضارة، بما في ذلك GraphSteel و GrimPlant و HeaderTip و LoadEdge و SPECTR، ناهيك عن عملية تدعى Ghostwriter لتثبيت Cobalt Strike وهو إطار عمل يمكن تفعيله بعد تنفيذ الاستغلال.

في الأسبوع الماضي، كشفت Malwarebytes Labs و Intezer عن مجموعة جديدة من هجمات القرصنة التي جرت في أواخر مارس ضد المنظمات الأوكرانية، والتي تشمل قناة تلفزيونية خاصة تدعى ICTV، عن طريق التصيد بالرمح الذي يحتوي على مستندات Excel ملغومة بشكل كبير، يؤدي تنزيلها إلى توزيع برنامج GrimPlant  الضار.

تجدر الإشارة إلى أن الموجة الجديدة من الهجمات الإلكترونية تأتي في الوقت الذي تستفيد فيه العديد من مجموعات القرصنة الأخرى الموجودة في إيران والصين وكوريا الشمالية وروسيا من الحرب الروسية الأوكرانية الجارية، كذريعة لتنظيم أنشطة خبيثة أخرى.