Թիրախավորված ֆիշինգային հարձակում հայկական ՀԿ-ի ուղղությամբ

2025 թվականի մայիսի 28-ին CyberHUB-AM-ը հայտնաբերել է բարդ ֆիշինգային հարձակում, որը թիրախավորում էր մեր գործընկերներ հասարակական կազմակերպություններից մեկին: Միջադեպը, որը փաստաթղթավորվել և վերլուծվել է Malware Information Sharing Platform (MISP) հարթակի միջոցով՝ ներկայացնում է հարձակողների ներկա մարտավարությունը, տեխնիկան և ընթացակարգերը (TTPs)։ Սա ևս մեկ անգամ ընդգծում է սպառնալիքների հետախուզության և դրանց դիմակայելու կազմակերպչական պատրաստվածության ամրապնդման անհրաժեշտությունը։

Հարձակման համառոտ նկարագրությունը

Հարձակվողը ֆիշինգային բնույթի էլեկտրոնային նամակ է ուղարկել՝ PDF կցորդի հղումով, որը քողարկվել էր որպես պաշտոնական փաստաթուղթ՝ VAHAGNKHACHATRYAN0-INVITATION-SCANDOC.PDF: https://snip.ly/l9xqzf URL հղումը վերահասցեավորվել է դեպի վնասակար GitHub Pages կայքին (https://asw910.github.io/ar.mernia.github.io/index.html), որը ստեղծվել էր օրինական բովանդակությունը նմանակելու նպատակով: Էջի ներսում ներդրված JavaScript-ը (jquery.min.js) ակտիվացրել է գաղտնաբառերի հավաքագրման գործընթաց և փոխանցել մուտքային տվյալները դեպի խոցված վերջնակետին․
https://wbbuffetchurrascobh.com.br/wp-admin/email.php

Թիրախ

Հարձակումը հստակ ուղղված է եղել քաղաքացիական հասարակության դեմ՝ մասնավորապես հայաստանյան ՀԿ-ի, ինչը վկայում է հարձակվողների ռազմավարական հետաքրքրության մասին՝ ուղղված շահերի պաշտպանության, իրավապաշտպան և տարածաշրջանային քաղաքականության գործունեությամբ զբաղվող կազմակերպություններին։

Մարտավարություն, տեխնիկա և ընթացակարգեր (TTP)
Հետախուզություն

• Նպատակի պրոֆիլավորում. ֆիշինգային խայծը անհատականացվել էր՝ օգտագործելով ՀՀ նախագահ Վահագն Խաչատուրյանի անունը (VAHAGNKHACHATRYAN), և ներկայացվել էր իբրև վարչապետի աշխատակազմի ղեկավարի անունից, ինչը վկայում է հարձակումն իրականացնողների կողմից նախնական ուսումնասիրության կամ նրանց մոտ որոշակի տվյալների առկայության մասին։

Ռեսուրսների մշակում

• Ենթակառուցվածքի օգտագործում.

  • GitHub-ի asw910 (նորաստեղծ հաշիվ) օգտատերը հյուրընկալել էր վնասաբեր բովանդակությունը GitHub Pages հարթակում։

  • Վերահղման շղթայում օգտագործվել էր Snip.ly ծառայությունը՝ վերջնական վնասաբեր հասցեն քողարկելու համար։

Առաքում

• Ֆիշինգային նամակ․ ուղարկվել է սովորական էլեկտրոնային փոստի միջոցով։ Այն պարունակել է սոցիալական ինժեներիայի մեխանիզմներով պատրաստված հղում՝ հետաքրքրասիրությունն ու հրատապությունը խթանելու համար՝ մղելով գործողության, որը բնորոշ է «spear phishing»-ի տեխնիկային։

Հասանելիություն հավատարմագրեր

• Հավատարմագրերի հավաքագրում. GitHub-ում տեղադրված էջի վնասաբեր JavaScript-ը (jquery.min.js) գրանցել է մուտքագրված տվյալները և POST հարցումների միջոցով փոխանցել դրան խոցված WordPress կայքի։

Քողարկում

• Կոդի քողարկում․ ֆիշինգային բեռը քողարկված է եղել որպես սովորական JavaScript գրադարան (jquery.min.js)՝ հայտնաբերումից խուսափելու նպատակով։

MITRE ATT&CK քարտեզագրում

• T1566.001 – ֆիշինգային նամակ կցորդով (Spearphishing Attachment)
• T1584 – ենթակառուցվածքի վնասում
• T1204.002 – օգտագտատիրոջ կողմից գործարկում․ վնասաբեր ֆայլի բացում
• T1056.001 – մուտքային տվյալների գրանցում՝ Keylogging հավատարմագրերի ձևի միջոցով
• T1071.001 – կիրառական մակարդակի արձանագրություններ՝ վեբ արձանագրություններ

Քաղված դասեր

1. Հեղինակավոր հարթակի չարաշահում
   GitHub-ում վնասակար բովանդակության տեղադրումը և հղումների կրճատող հայտնի (Snip.ly) ծառայության օգտագործումը ցույց է տալիս, թե ինչպես են հարձակվողները շահարկում վստահելի ծառայությունները քլիքերի մակարդակը բարելավելու և ֆիլտրերը շրջանցելու համար։
2. Քաղաքացիական հասարակության թիրախավորում
   Սա պատահական հարձակում չէր։ Այն արտացոլում է քաղաքական դրդապատճառներով պայմանավորված հարձակումների աճող միտումները, որոնք թիրախավորում են ՀԿ-ների, լրագրողների և ակտիվիստների, ինչն օրինաչափորեն համապատասխանում է տարածաշրջանային սպառնալինքերի վերաբերյալ զեկույցների նկարագրություններին և դեպքերին։
3. Հավաստագրերի գրանցում POST-ի միջոցով
   Այս տարածված, բայց արդյունավետ տեխնիկան ընդգծում է POST-ից դուրս եկող տրաֆիկի անոմալիաների ստուգման կարևորությունը, հատկապես օտարերկրյա տիրույթների կամ չճանաչված վերջնակետերի համար։
4. Պաշտպանական բացեր
   URL ֆիլտրացիայի կամ օգտատիրոջ իրազեկման բացակայությունը հանգեցրել է վնասաբեր հղման սեղմմանը։ Կազմակերպությունները պետք է առաջնահերթ դարձնեն համապարփակ պաշտպանությունը՝ ներառյալ վերջնակետի պաշտպանությունը և DNS ֆիլտրացիան։

Խորհուրդներ

• Կիրառել SPF, DKIM, DMARC մեխանիզմներ՝ ուղարկողի իսկությունը ստուգելու և կեղծ նամակները հայտնաբերելու համար։
• Արգելափակել հղումը կարճացնող ծառայությունների հասանելիությունը, բացառությամբ հատուկ թույլատրվածների։
• Մշտապես վերահսկել GitHub-ի և նմանօրինակ հարթակների համանման դոմեյնները, քանի որ դրանք հաճախ օգտագործվում են վնասաբեր բովանդակություն տարածելու համար։
• Կանոնավոր և պարբերական սկզբունքով իրականացնել ֆիշինգային վարժանքներ, սիմուլյացիաներ և իրազեկման սեմինարներ, որպեսզի աշխատակիցները կարողանան տարբերակել սպառնալիքները՝ հիմնված հարձակվողների ներկայիս մեթոդների վրա։