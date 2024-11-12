بدءًا من نوفمبر 2024، تتبعت IBM X-Force حملات Hive0145 المستمرة التي تنشر برنامج Strela Stealer الضار لدى الضحايا في جميع أنحاء أوروبا – وخاصة في إسبانيا وألمانيا وأوكرانيا. إن رسائل البريد الإلكتروني التصيدية المستخدمة في هذه الحملات هي إشعارات فواتير حقيقية، والتي تمت سرقتها من خلال بيانات اعتماد البريد الإلكتروني التي تم اختراقها مسبقًا. تم تصميم Strela Stealer لاستخراج بيانات اعتماد المستخدم المُخزَّنة في Microsoft Outlook وMozilla Thunderbird. خلال الأشهر الثمانية عشر الماضية، اختبرت المجموعة تقنيات مختلفة لتعزيز فعالية عملياتها. من المرجح أن يكون Hive0145 وسيط وصول أوليًا (IAB) ذا دوافع مالية، نشطًا منذ أواخر عام 2022، ومن المحتمل أن يكون المشغل الوحيد لبرنامج Strela Stealer. يُبرز الإيقاع التشغيلي المستمر لحملات Hive0145 تزايد المخاطر التي يتعرض لها الضحايا المحتملون في جميع أنحاء أوروبا.
النشرة الإخبارية الخاصة بالمجال
ابقَ على اطلاع دائم على أبرز الاتجاهات في مجالات الذكاء الاصطناعي، والأتمتة، والبيانات، وغيرها الكثير من خلال رسالة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيصلك محتوى الاشتراك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك من هنا. لمزيد من المعلومات، راجع بيان خصوصية IBM.
ابتداءً من منتصف أبريل لعام 2023، بدأت X-Force بتتبع زيادة في نشاط Hive0145. من المرجح أن تكون مجموعة Hive0145 وسيط وصول أولي (IAB) ذا دوافع مالية، ومن المحتمل أن تكون المشغل الوحيد لبرنامج Strela Stealer. إن Strela Stealer هو برنامج ضار مُصمم لاستخراج بيانات اعتماد المستخدم المُخزَّنة في Microsoft Outlook وMozilla Thunderbird، ما قد يؤدي إلى اختراق البريد الإلكتروني للأعمال (BEC). تجمع وسائط الوصول الأولية (IAB) بشكل روتيني بيانات الاعتماد والبيانات الأخرى التي تُباع لعناصر التهديد التابعة، والمتخصصة في استغلال شبكة الضحايا. ومع ذلك، لا يزال من غير المعروف ما إذا كان لدى Hive0145 شبكة شركاء محددة لبيع إمكانية الوصول المكتسبة من خلال حملاتهم.
على مدار العام الماضي، أظهرت Hive0145 كفاءة في تطوير التكتيكات والتقنيات والإجراءات (TTPs) لاستهداف الضحايا في جميع أنحاء أوروبا. استمر الضحايا الإيطاليون والإسبان والألمان والأوكرانيون في استلام مرفقات مُسلَّحة تغري الضحية بفتح الملف. وتقدم حملات هذه الجهة الفاعلة للضحية فواتير أو إيصالات مزيفة، وغالبًا ما تتضمن رسالة قصيرة وعامة تحث الضحايا على التصرف بشكل عاجل. عند تحميل الملف المرفق، تقوم الضحية عن غير قصد بتنفيذ سلسلة الإصابات التي تؤدي إلى برنامج Strela Stealer الضار.
الشكل 1 حملة بريد إلكتروني تحت عنوان Banco Santander
واصلت Hive0145 هذا النمط من استخدام الرسائل العامة والفواتير والإيصالات المزيفة طوال النصف الأول من عام 2024. ومع ذلك، بحلول أوائل يوليو لعام 2024، تبنت المجموعة نهجًا مختلفًا وبدأت في تسليح رسائل البريد الإلكتروني المسروقة لكيانات حقيقية عبر القطاعات المالية والتكنولوجية والصناعية والإعلامية وقطاعات التجارة الإلكترونية وغيرها من الصناعات. ويشير هذا التخلي عن البساطة إلى تحول Hive0145 نحو النضج في قدرات العمليات السيبرانية.
في يوليو لعام 2024، لاحظت X-Force تغييرًا في منتصف الحملة في رسائل البريد الإلكتروني التي يوزعها Hive0145، حيث تم استبدال الرسائل القصيرة والعامة برسائل بدت وكأنها رسائل بريد إلكتروني مسروقة ومشروعة. تطابقت رسائل التصيد الاحتيالي تمامًا مع رسائل البريد الإلكتروني الرسمية لاتصالات الفواتير، وفي بعض الحالات، كانت لا تزال تخاطب المستلمين الأصليين بالاسم مباشرة. تمكنت X-Force من التحقق من أن رسائل البريد الإلكتروني كانت في الواقع إشعارات فواتير أصلية من مجموعة متنوعة من الكيانات عبر القطاعات المالية والتكنولوجية والصناعية والإعلامية وقطاعات التجارة الإلكترونية، وغيرها من الصناعات. ومن المرجح أن تكون المجموعة قد حصلت على رسائل البريد الإلكتروني من خلال بيانات الاعتماد التي تم تسريبها سابقًا من حملاتها الماضية.
إن مفهوم استخدام رسائل البريد الإلكتروني المسروقة ليس جديدًا، فقد استخدمته على نطاق واسع مجموعة Emotet وموزعو البرامج الضارة مثل Hive0118 (المعروف أيضًا باسم TA577) وTA551 وTA570. في حملاتهم، استغلوا اختراق سلاسل المحادثات، حيث تم استخدام سلاسل محادثات جديدة لرسائل بريد إلكتروني مسروقة كوسيلة لزيادة مظهر الشرعية. تم إرسال رسائل البريد الإلكتروني المعدلة إلى جهات الاتصال المقابلة للضحايا السابقين، ما جعل البريد الإلكتروني النهائي يبدو وكأنه رد على البريد الإلكتروني المسروق، ومن ثَمَّ تم اختراق سلسلة محادثات البريد الإلكتروني. وغالبًا ما يكون النص الذي يضيفه الموزعون إلى رسائل البريد الإلكتروني عبارة عن ردود قصيرة تحث الضحايا على النظر إلى المرفقات أو روابط URL المضمنة.
تختلف التقنية التي تستخدمها Hive0145 عن اختراق سلاسل المحادثات في أنه بدلاً من إضافة رسالة رد إلى البريد الإلكتروني المسروق، يظل المحتوى الأصلي غير مُعدّل إلى حد كبير، ويتم فقط تبديل المرفق ليشمل حمولة ضارة باستخدام اسم الملف الأصلي (من دون الامتداد الأصلي). داخل نص البريد الإلكتروني، تقوم Hive0145 أيضًا باستبدال كل من الجزء المحلي والنطاق لمرسل البريد الإلكتروني الأصلي ببيانات ضحية التصيد الجديدة لتخصيص البريد الإلكتروني. ثم تُرسَل رسائل البريد الإلكتروني التي تحتوي على مرفقات مخترقة في حملات تصيّد احتيالي جماعية. كما يبدو أن Hive0145 تنظر بعناية في رسائل البريد الإلكتروني المخترقة من خلال اختيار الرسائل التي تشير إلى فواتير وتحتوي على مرفقات فقط. لاحظت X-Force أسلوب اختراق المرفقات منذ منتصف عام 2024 في الحملات التي تستهدف الناطقين بالألمانية والإسبانية والأوكرانية.
الشكل 2 مثال على رسالة بريد إلكتروني أصلية مسروقة لفاتورة Deutsche Bahn التي تحتوي على مرفق مُخترَق
بدأت حملة يوليو لعام 2024 في الكشف عن انخفاض حجم تسليم رسائل البريد الإلكتروني خلال أسبوع 8 يوليو. وبدا أن مجموعة Hive0145 قد أخذت فترة استراحة قصيرة قبل العودة بحملة أكبر في الأسبوع الذي بدأ في 22 يوليو، تلتها فترة من عدم النشاط. ابتداءً من منتصف أكتوبر لعام 2024، عادت Hive0145 بحملة واسعة النطاق لاختراق المرفقات، والتي استهدفت ضحايا في إسبانيا وألمانيا وأوكرانيا. وعلى عكس حملة يوليو الوجيزة، استمرت هذه الحملة في إرسال كميات كبيرة من رسائل البريد الإلكتروني، مع إرسال الأغلبية خلال أيام الأسبوع.
الشكل 3 الحملة المستمرة في أواخر أكتوبر لعام 2024
لا تزال رسائل البريد الإلكتروني المسروقة عبر القطاعات المالية والتكنولوجية والصناعية والإعلامية وقطاع التجارة الإلكترونية وغيرها من الصناعات تُستخدم كسلاح حتى أوائل نوفمبر من عام 2024، في واحدة من أكبر حملات Hive0145 التي تم رصدها حتى الآن. في الحملة الجارية، يتلقى الضحية أرشيفًا يحتوي على ملف JavaScript مُشوش بشدة يقوم بتنزيل ملف DLL لبرنامج Strela Stealer المشفر وتنفيذه. واعتبارًا من 7 نوفمبر لعام 2024، بدأت Hive0145 في إدراج الناطقين باللغة الأوكرانية ضمن الحملة الجارية، ما يشير إلى تطور كبير مقارنةً بضحاياها الذين تم رصدهم سابقًا.
الشكل 4 مثال على البريد الإلكتروني الأصلي المسروق لفاتورة تستهدف أوكرانيا
قد يشير الحجم المتزايد لتسليم رسائل Hive0145 باستخدام اختراق المرفقات، مع إمداد ثابت من رسائل البريد الإلكتروني المسروقة حديثًا، إلى أن المجموعة قد تبنت الأتمتة لتجميع رسائل التصيد الاحتيالي الخاصة بها وتسليحها وتغليفها وإرسالها. وتستمر المجموعة في إظهار تفضيلها للاستغلال واسع النطاق للضحايا الإسبان والألمان والأوكرانيين في جميع أنحاء أوروبا.
تبرز مجموعة Hive0145 بين موزعي البرامج الضارة الآخرين لمستوى الجهد الذي تبذله لتبني أساليب متزايدة التعقيد لتسليم برنامج Strela Stealer. يعكس مستوى التعقيد هذا نجاح موزعي البرامج الضارة الضخمة الآخرين، مثل Emotet وPikabot وQakbot، الذين أدى نشاطهم في كثير من الأحيان إلى نشر برامج الفدية الضارة. فيما يلي تحليل للتقنيات البارزة التي استخدمتها Hive0145 مع مرور الوقت، حيث تم اختبار بعضها لفترة وجيزة واعتماد بعضها الآخر بشكل كامل.
استخدمت حملات Strela Stealer الأولى التي رصدتها X-Force ملفات متعددة اللغات، كما ورد لأول مرة في مدونة نشرتها DCSO (Deutsche Cyber-Sicherheitsorganisation) في أواخر عام 2022. تحتوي هذه الملفات على عدة صيغ صالحة ويمكن تحليلها بواسطة تطبيقات مختلفة. يمكن عرض الملف نفسه كملف HTML لعرض فاتورة خادعة، بالإضافة إلى كونه ملف DLL صالحًا، يقوم بتنفيذ برنامج Strela Stealer. وهذه تقنية غير شائعة إلى حد ما لمحاولة تجاوز الحلول الأمنية.
استخدمت حملات متعددة طوال عام 2023 شهادات توقيع رموز صالحة لملفات Strela Stealer الثنائية الخبيثة. على سبيل المثال، تضمنت الحملات التي استهدفت الضحايا الناطقين بالإسبانية والتي يعود تاريخها إلى أبريل 2023 حمولات تحمل شهادة صالحة موقعة من شركة Tecfinance Informatica E ProJetos De Sistemas Ltda، وهي شركة برمجيات في البرازيل.
الشكل 5: شهادة شركة برازيلية مستخدمة في حملات عام 2023
في 5 مايو 2024، اتخذت شركة X-Force خطوات لإبلاغ الأطراف ذات الصلة بالنتيجة، وتم إلغاء الشهادة منذ ذلك الحين.
من الجدير بالذكر أن الحملة التي استهدفت إيطاليا في منتصف عام 2023 استخدمت شهادة مختلفة:
الشكل 6 شهادة مسروقة أخرى استخدمت في منتصف عام 2023 لاستهداف الضحايا الإيطاليين
كما صممت حملات التصيّد الاحتيالي لـ Strela Stealer أسماء الملفات لتشمل أسماء النطاقات المستهدفة. وغالبًا ما تكون أسماء الملفات مطابقة لاسم المؤسسة أو الشركة، ربما في محاولة لخلق المصداقية. المثال أدناه هو بريد إلكتروني للتصيد الاحتيالي من عام 2023 ينتحل صفة فاتورة أو إيصال دفع.
الشكل 7 حملة بريد إلكتروني تحت عنوان Factura
كما يوحي البريد الإلكتروني، فإن المرفقات عبارة عن ملفات ZIP مشفرة، مع اختلاف كلمات المرور قليلاً بين كل رسالة إلكترونية وأخرى. يقوم عنصر التهديد بتشفير مرفقات البريد الإلكتروني لأن حلول تصفية البريد الأساسية وأنظمة آلية تحديد الوصول غالبًا لا تستطيع فحص تلك الملفات أو تحليلها.
كما استخدم برنامج Strela Stealer امتدادات غير شائعة لملفات PE القابلة للتنفيذ الخاصة به مثل .com بدلاً من .exe:
ويستخدم هذا شرطًا في أنظمة تشغيل Microsoft Windows حيث يمكن استخدام ثلاثة امتدادات مختلفة لتمييز ملف على أنه قابل للتنفيذ: .exe، .com، و .pif.
إذا كان المحتوى ملف PE قابلاً للتنفيذ، فسيشغله Microsoft Windows تلقائيًا بمجرد فتحه. ومن خلال استخدام الامتدادات غير الشائعة وغير المعروفة، قد تتجنب الحملة الحلول البسيطة لمكافحة الفيروسات أو اشتباه الضحايا. لوحظ أيضًا أن الحملات السابقة التي استخدمت الحمولات نفسها قد استغلت امتداد .pif .
بصرف النظر عن أرشيفات ZIP المرفقة مباشرة والتي تحتوي على ملفات خبيثة قابلة للتنفيذ، فغالبًا ما تستخدم حملات Strela Stealer أيضًا برامج نصية مشوشة مثل Batch أو JavaScript أو PowerShell لتنزيل حمولتها أو إسقاطها.
اعتمدت الحملات طوال عام 2024 بشكل أساسي على هذه البرامج النصية المشوشة لتشغيل أمر PowerShell للاتصال بخادم WebDAV وتنزيل DLL وتنفيذه:
تستضيف خوادم المرحلة WebDAV عددًا كبيرًا من ملفات DLLs، بأسماء وبصمات مختلفة. يبدو أنها قد تم بناؤها باستخدام برنامج تشفير حدده X-Force باسم "Stellar Crypter"، والذي من المحتمل أن تكون مجموعة Hive0145 تستخدمه حصريًا منذ مايو لعام 2023 على الأقل. تحتوي الملفات الثنائية الخبيثة المحددة باسم "Stellar Loader" على حمولة Strela Stealer المشفرة.
Stellar Loader هي أداة تشفير تم استخدامها منذ أبريل لعام 2023 على الأقل، وهي في الغالب مقدمة لمتابعة حمولات Stellar Stealer. عادةً ما تكون عينات Stellar مُشوشة للغاية، وتستخدم تقنيات مثل تشويش تدفق التحكم، وتتضمن كميات كبيرة من التعليمات غير المهمة لإعاقة عملية التحليل وإنشاء التوقيعات الرقمية. تكون حمولة Stellar مشفرة باستخدام عملية XOR ومخزنة في قسم البيانات (.data) داخل الملف الثنائي لأداة تحميل Stellar. تُسبق بيانات الحمولة المشفرة بمفتاح XOR، والذي يتكون في العينات الحديثة بشكل حصري من أحرف كبيرة وصغيرة، ويمكن أن يصل طوله إلى آلاف الأحرف.
عند التنفيذ، يقوم برنامج Stellar Loader بفك تشفير بيانات الحمولة باستخدام XOR والمفتاح المُخزَّن. قد تتضمن عملية فك التشفير أيضًا جولة إضافية من تشفير XOR باستخدام مفتاح ثابت أحادي البايت. وكجزء من تشويش رمز Stellar Loader، غالبًا ما يتم توسيع خوارزمية فك التشفير داخل الرمز لتشمل مئات العمليات. ومع ذلك، فإن الغالبية العظمى من هذه العمليات يلغي بعضها بعضًا، ويمكن اختزال ما يبدو كخوارزمية معقدة إلى عملية XOR بسيطة. تظهر لقطة الشاشة أدناه نسخة من Stellar Loader مع أقل قدر من التشويش الواضح، حيث يمكن رؤية بنية رمز أداة التحميل وخوارزمية فك التشفير بسهولة.
في الإصدارات الأحدث من أداة التحميل، تُتبع بيانات الحمولة المشفرة بكتلة مشفرة إضافية تحتوي على قائمة بأسماء واجهات برمجة التطبيقات التي يتطلبها رمز أداة التحميل، مثل VirtualAlloc. تفك أداة التحميل تشفير هذه الكتلة باستخدام مفتاح الحمولة نفسه ولكن من دون الحاجة إلى XOR أحادي البايت. يمكن لأداة التحميل بعد ذلك استخدام أسماء واجهات برمجة التطبيقات في الكتلة لاسترداد عناوين واجهات برمجة التطبيقات المقابلة.
بمجرد فك تشفير الحمولة وقائمة واجهات برمجة التطبيقات، تخصص أداة Stellar مساحة في الذاكرة باستخدام VirtualAlloc وترسم تعيين PE للحمولة عند العنوان المخصص. ثم تُنفِّذ خطوات تحميل ملفات PE القياسية، مثل تحميل عمليات الاستيراد الخاصة بها ومعالجة أي قسم إعادة تعيين المواقع (.relocs)، وأخيرًا، تُنفِّذ الحمولة عند عنوان نقطة الدخول الخاصة بها.
لم يتغير Strela Stealer كثيرًا من حيث الوظائف خلال العامين الماضيين. بدءًا من الإصدار الأولي الذي أبلغت عنه DCSO في أواخر عام 2022، فإن الهدف الرئيسي من أداة السرقة هو سرقة بيانات اعتماد البريد الإلكتروني من عميلين شائعين للبريد الإلكتروني: Microsoft Outlook وThunderbird. وهذا الهدف ثابت في جميع الإصدارات، ومع ذلك، فإن الإصدار الأحدث يدعم البحث في مفاتيح سجل بيانات اعتماد Microsoft Outlook أكثر من الإصدارات السابقة.
يُشغِّل برنامج Strela Stealer وظيفتين مُكلفتين بسرقة بيانات الاعتماد من اثنين من عملاء البريد الإلكتروني:
عميل البريد الإلكتروني
Thunderbird
Microsoft Outlook
الموقع
نظام الملفات
السجل
المسار
%APPDATA%
%APPDATA%
SOFTWARE\\Microsoft\\Office\\16.0\\Outlook\\Profiles\\Outlook\\
SOFTWARE\\Microsoft\\Office\\15.0\\Outlook\\Profiles\\Outlook\\
Software\\Microsoft\\Windows Messaging Subsystem\\Profiles\\9375CFF0413111d3B88A00104B2A6676
Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows MessagingSubsystem\\Profiles\\Outlook\\
بالنسبة إلى برنامج Outlook، يبحث برنامج Strela Stealer تحديدًا عن قيم التسجيل:
تُنسَّق البيانات وتُضاف إليها السلسلة "FF" أو "OL" لبيانات Thunderbird وOutlook، على التوالي. بعد ذلك، يتم تشفيرها أيضًا باستخدام مفتاح XOR ثابت، والذي يمثل سلسلة GUID مثل:
ثم يرسل Strela Stealer طلب POST لكل عميل بريد إلكتروني إلى خادم C2 المشفّر بشكل ثابت:
يتم فك تشفير الاستجابة باستخدام مفتاح XOR نفسه المذكور أعلاه. يستمر برنامج Strela Stealer في إرسال طلبات POST على فترات زمنية مدتها ثانية واحدة حتى يفشل أحد الطلبات أو يتلقى السلسلة "KH" (إصدارات عام 2023) أو "ANTIROK" (إصدارات عام 2024) أو "CHOLLIMA" (إصدارات نوفمبر لعام 2024).
واعتبارًا من أكتوبر لعام 2024، يتضمن برنامج Strela Stealer أيضًا وظيفتين إضافيتين من وظائف التسلل. فالوظيفة الأولى تجمع معلومات النظام عن المضيف وتكتبها إلى ملف من خلال الأمر:
أما وظيفة التسلل الثانية فتستخدم كائنات COM لسرد قائمة التطبيقات المثبتة من مجلد "AppsFolder" (وهو مجلد افتراضي يظهر باسم "التطبيقات") على جهاز الضحية.
تتم قراءة الملف الذي تم إسقاطه، بالإضافة إلى قائمة التطبيقات المثبتة وتشفيرها قبل عملية التسلل بالطريقة نفسها المتبعة مع الملفات الأخرى. ويتم إرسالها إلى خادم C2 باستخدام المعرفات "SI" و"LA" على التوالي.
بدأ Strela Stealer بتنفيذ فحوصات اللغة عن طريق التحقق من لغة لوحة المفاتيح على مضيف الضحية. لن تعمل الإصدارات خلال عام 2024 إلا على الأجهزة المضيفة التي تدعم إحدى لغات لوحة المفاتيح التالية:
في أوائل نوفمبر، بدأت Hive0145 أيضًا في توزيع رسائل البريد الإلكتروني الأوكرانية المسروقة وقامت بتعديل منطق التحقق من اللغة بشكل طفيف، مضيفة اللغة الأوكرانية (0x422) إلى قائمة تخطيطات لوحة المفاتيح. بالإضافة إلى ذلك، تحوّل المطورون إلى استخدام واجهة برمجة تطبيقات GetKeyboardLayoutLayoutList لتغطية جميع تخطيطات لوحة المفاتيح المثبتة. إذا لم تتطابق أي من اللغات، فإن برنامج Strela Stealer يجري فحصًا ثانويًا بمقارنة نتيجة الإعدادات المحلية الافتراضية للمستخدم المستخرجة عبر GetLocaleInfoA مع الرمزين "AU" و"UA"، وهما رمزا أستراليا وأوكرانيا. من الممكن أن يكون المطور لم يكن متأكدًا من نهاية القيمة التي تم إرجاعها ولم يكن ينوي استهداف أستراليا. بشكل عام، تزيد هذه التغييرات من نطاق الأجهزة المتاحة للإصابة بعدوى Strela Stealer.
في السابق، كان البرنامج الضار يعرض رسالة خطأ غير بارزة للمستخدم بعد التشغيل حتى لا تثير أي شكوك. حيث كانت تنص على أن الملف تالف ولا يمكن فتحه، باللغة التي تعتمد على لوحة المفاتيح المثبتة. تستخدم أحدث الإصدارات رسالة الخطأ الأكثر شمولية "Err 100"، والتي تظهر بعد 5 ثوانٍ من بداية التنفيذ.
في يونيو لعام 2023، رصدت X-Force حملة واحدة استهدفت إيطاليا تحت اسم Hive0145، حيث تم تقديم إصدار جديد من Strela Stealer تمت إعادة كتابته بالكامل باستخدام .NET. على غرار الحملات السابقة، استخدمت هذه الحملة أيضًا شهادات توقيع رمز صالحة. يُظهر إعادة تنفيذ البرنامج الضار بلغة مختلفة الجهد الكبير الذي بذله عنصر التهديد. من أجل إخفاء السلاسل وأسماء الدوال وتدفق التحكم، استخدم المطورون "Aldaray Rummage Obfuscator" التجاري لـ .NET. تعرض لقطة الشاشة أدناه الرمز المستخدم للوصول إلى بيانات اعتماد IMAP وإلغاء حمايتها من مفاتيح تسجيل Microsoft Outlook.
ومن الجدير بالذكر أن أداة التشويش التجارية تتضمن علامة مائية للترخيص، والتي تمت ملاحظتها على أنها:
يعرض المثال أعلاه رسالة الخطأ التالية باللغة الإيطالية:
إن تركيز مجموعة Hive0145 على تجميع بيانات اعتماد البريد الإلكتروني يميزها عن غيرها من مشغلي البرامج الضارة السارقة أو شبكات البوت نت، والتي غالبًا ما تكون سلعًا تجارية تستهدف مجموعة أوسع من بيانات الاعتماد والبيانات، أو تُسهِّل إيصال حمولات لاحقة تهدف إلى تحقيق الوصول الأولي. يعد استخدام Hive0145 لرسائل البريد الإلكتروني المسروقة لاختراق المرفقات مؤشرًا على أن جزءًا من بيانات اعتماد البريد الإلكتروني المسروقة قد يُستخدم لتجميع رسائل البريد الإلكتروني الشرعية لتوزيعها مرة أخرى. تتميز رسائل البريد الإلكتروني -سواء المسروقة أو التي أنشأتها عناصر التهديد- والتي تستخدمها مجموعة Hive0145 بأنها تحمل طابع "الفواتير" كسمة أساسية، ما يشير إلى وجود دوافع مالية محتملة. من المحتمل أن تبيع Hive0145 رسائل البريد الإلكتروني المسروقة إلى شركاء تابعين لأغراض اختراق البريد الإلكتروني التجاري بشكل أكبر.
إن مجموعة Hive0145 هي عنصر تهديد سيبراني سريع النضوج، يسعى إلى إصابة الضحايا بهدف الحصول على بيانات الاعتماد للبريد الإلكتروني الصحيحة. تشير الملاحظات إلى أن سرقة بيانات اعتماد البريد الإلكتروني، من خلال الحملات الأولية، أدت إلى مزيد من سرقة رسائل البريد الإلكتروني الصالحة المستخدمة في حملات اختراق المرفقات اللاحقة. لا يزال برنامج Stela Stealer الضار أداة فعالة لمجموعة Hive0145 لاستخراج بيانات اعتماد البريد الإلكتروني.
إن التنوع الكبير في الصناعات التي تحاكيها حملات البريد الإلكتروني التي تقوم بها Hive0145 يزيد من المخاطر المحتملة لاستهداف المؤسسات التجارية في جميع أنحاء أوروبا. وتجدر الإشارة إلى أن المؤسسات في المناطق الناطقة بالإيطالية أو الإسبانية أو الألمانية أو الأوكرانية قد تكون أكثر عرضة لخطر حملات Hive0145 بشكل مباشر. توصي X-Force بتوخي أقصى درجات اليقظة بشأن مرفقات البريد الإلكتروني المستلمة والمراجعة الدقيقة لنوع الملف المتوقع استلامه.
توصي X-Force المؤسسات بما يلي:
المؤشر
نوع المؤشر
السياق
03853c56bcfdf87d71ba
SHA256
Stellar Loader (أكتوبر 2024)
e50bea80513116a1988822
SHA256
Stellar Loader (مايو 2024)
2cac42735170cd3f67111807
SHA256
Stellar Loader - الحد الأدنى من التشويش (يناير 2024)
9a032497b82c3db8146cb6
SHA256
حمولة Strela Stealer
E4a7AD38aaea4BD27C32C57
SHA256
حمولة Strela Stealer
2f7ac330e100b577748bb34
SHA256
Stellar Loader (نوفمبر 2024)
94.159.113[.]48
IPv4
Strela Stealer C2
94.159.113[.]86
IPv4
Strela Stealer C2
193.109.85[.]231
IPv4
Strela Stealer C2
5906c8e683b8eb9d2bc104f
SHA256
نسخة .NET لـ Strela Stealer
تعرّف على أحدث التهديدات وعزز دفاعاتك السحابية من خلال تقرير X-Force Cloud Threat Landscape.
تعرَّف على كيفية التغلب على التحديات والاستفادة من مرونة الذكاء الاصطناعي التوليدي في مجال الأمن الإلكتروني.
احمِ مؤسستك من التهديدات العالمية مع فريق IBM X-Force المتخصص في التهديدات، والذي يتكون من متسللين ومستجيبين وباحثين ومحللين.
استخدم الكشف عن التهديدات والاستجابة لها من IBM لتعزيز الأمن لديك وتسريع الكشف عن التهديدات.
احمِ بيئة الأجهزة المحمولة لديك مع حلول الدفاع الشاملة ضد التهديدات من IBM MaaS360.
احصل على حلول شاملة لإدارة التهديدات من أجل حماية عملك من الهجمات الإلكترونية بشكل احترافي.