يكشف بحث مجموعة إنسيكت Insikt أن OilAlpha، وهي مجموعة من المحتمل أن تكون مؤيدة للحوثيين، تواصل استهداف المنظمات الإنسانية ومنظمات حقوق الإنسان العاملة في اليمن. تستخدم هذه المجموعة تطبيقات Android الخبيثة لسرقة بيانات الاعتماد وجمع المعلومات الاستخباراتية، وربما للسيطرة على توزيع المساعدات. ومن بين المنظمات البارزة المتضررة منظمة CARE International والمجلس النرويجي للاجئين. يسلط هذا التقرير الضوء على التهديد المستمر ويقترح استراتيجيات للتخفيف من حدته، مثل الوعي بالهندسة الاجتماعية وكلمات المرور القوية والمصادقة متعددة العوامل.
تطبيقات OilAlpha الخبيثة تستهدف منظمات المساعدات الإنسانية العاملة في اليمن
في مايو 2023، نشرت مجموعة Insikt لأول مرة بحثًا عن OilAlpha ، وهي مجموعة مؤيدة للحوثيين تستهدف المنظمات الإنسانية في اليمن باستخدام تطبيقات Android الضارة. وبعد مرور عام، تكشف نتائج جديدة أن OilAlpha لا تزال نشطة وتشكل تهديدًا كبيرًا للجهود الإنسانية في المنطقة.
وقد حددت أبحاثنا الأخيرة مجموعة جديدة من التطبيقات والبنية الأساسية الضارة المرتبطة بشركة OilAlpha. وتستهدف هذه التطبيقات موظفي المنظمات الإنسانية المعترف بها عالميًا، بما في ذلك منظمة CARE International، والمجلس النرويجي للاجئين، ومركز الملك سلمان للإغاثة والأعمال الإنسانية في المملكة العربية السعودية.
في يونيو 2024، اكتشفنا ملف Android مشبوهًا باسم "Cash Incentives.apk"، متصل بالبنية الأساسية لشركة OilAlpha. يطلب التطبيق أذونات تدخلية، بما في ذلك الوصول إلى الكاميرا والصوت والرسائل القصيرة وجهات الاتصال والمزيد، مما يصنفه على أنه حصان طروادة للوصول عن بُعد (RAT). حدد التحليل اللاحق تطبيقين ضارين آخرين يستهدفان المجلس النرويجي للاجئين ومنظمة CARE International، وكل منهما يحاول سرقة بيانات الاعتماد وجمع معلومات حساسة.
تتضمن عمليات OilAlpha بوابة لسرقة بيانات الاعتماد تستضيفها المجال kssnew[.]online. تنتحل هذه البوابة صفة صفحات تسجيل الدخول الخاصة بالمنظمات الإنسانية، وتعيد توجيه المستخدمين لإدخال بيانات اعتمادهم، والتي يقوم المهاجمون بعد ذلك بجمعها.
لمكافحة هذا التهديد، يجب على المؤسسات تنفيذ سياسات أمن المعلومات وإجراء تدريبات للتوعية بالهندسة الاجتماعية والتصيد الاحتيالي. يمكن لكلمات المرور القوية والمصادقة متعددة العوامل (MFA) تقليل مخاطر سرقة بيانات الاعتماد بشكل كبير.
علاوة على ذلك، يجب على المستخدمين توخي الحذر من الرسائل المباشرة على وسائل التواصل الاجتماعي والدردشات المشفرة، والتحقق من صحة الرسائل عندما يكون ذلك ممكنًا. يمكن لوحدة الاستخبارات الخارجية من Recorded Future المساعدة في تحديد أنشطة OilAlpha ومراقبتها في الوقت الفعلي. قم بتثبيت ملحق متصفح Recorded Future® Threat Intelligence للوصول الفوري إلى معلومات التهديد، ومعالجة التنبيهات بشكل أسرع في SIEM، وإعطاء الأولوية للثغرات الأمنية.
بالنسبة للملفات المشبوهة، توفر أداة Malware Intelligence من Recorded Future تحليلاً تفصيليًا. فهي تراقب سلوك الملف في بيئة خاضعة للرقابة لفهم اتصالاته بالشبكة وتغييرات النظام.
وتشير أنشطة OilAlpha إلى جهود مستمرة للسيطرة على توزيع المساعدات الإنسانية في اليمن. ومن المرجح أن يستمر تركيز المجموعة على استهداف المنظمات الإنسانية، وربما يتوسع إلى ما هو أبعد من اليمن. وتظل Recorded Future ملتزمة بمراقبة هذه التهديدات والإبلاغ عنها للمساعدة في حماية العمليات الإنسانية في الشرق الأوسط وخارجه.
المصدر: Insikt group