في الآونة الأخيرة، تم ربط مجموعة التهديدات السيبرانية المعروفة باسم “الذئب اللاصق” (Sticky Werewolf) بهجمات مستهدفة بشكل رئيسي في روسيا وبيلاروسيا، بهدف نشر البرمجية الخبيثة “لومّا ستيلر” (Lumma Stealer) باستخدام زراعة غير موثقة سابقًا. تقوم شركة كاسبرسكي بتتبع هذه الأنشطة تحت اسم “أنغري ليخو” (Angry Likho)، والتي أوضحت أن هناك تشابهًا كبيرًا مع “أويكن ليخو” (Awaken Likho) المعروف أيضًا بأسماء أخرى مثل “كوري ويرولف” (Core Werewolf) و”جاما كوبي” (GamaCopy) و”بسودو جاماردون” (PseudoGamaredon).

التحليل والاتجاهات

تميل هجمات “أنغري ليخو” إلى أن تكون موجهة، مع بنية تحتية أكثر تركيزًا ومجموعة محدودة من الزرعات، وتركز بشكل خاص على موظفي المنظمات الكبيرة، بما في ذلك الوكالات الحكومية ومقاوليها. يُشتبه في أن المتسللين يتحدثون الروسية بطلاقة، نظرًا لاستخدامهم اللغة الروسية بمهارة في الملفات الطعم التي تُستخدم لبدء سلسلة العدوى. الشهر الماضي، وصفت شركة الأمن السيبراني F6 (المعروفة سابقًا باسم F.A.C.C.T.) المجموعة بأنها “جماعة تجسس سيبراني مؤيدة لأوكرانيا”.

الهدف والتقنيات المستخدمة

تستهدف الهجمات بشكل رئيسي المنظمات في روسيا وبيلاروسيا، حيث تم تحديد مئات الضحايا في روسيا. وقد استغلت الأنشطة السابقة للمجموعة رسائل التصيد الاحتيالي كوسيلة لنشر عائلات برمجيات خبيثة مختلفة مثل “نت واير” (NetWire) و”رهادامانثيس” (Rhadamanthys) و”أوزون رات” (Ozone RAT) و”دارك تراك” (DarkTrack)، الذي يتم تشغيله عبر محمل يُعرف باسم “آندي لودر” (Ande Loader).

التأثير والإجراءات الأمنية

تشمل سلسلة الهجوم استخدام رسائل تصيد احتيالي موجهة تحمل مرفقًا مفخخًا (مثل ملفات الأرشيف)، حيث تحتوي على ملفين مختصرين لنظام ويندوز (LNK) ووثيقة طعم شرعية. تكون ملفات الأرشيف مسؤولة عن تقدم النشاط الخبيث إلى المرحلة التالية، مما يؤدي إلى عملية متعددة المراحل لنشر برنامج “لومّا” لجمع المعلومات.

تم إنشاء هذه الزراعة باستخدام نظام التثبيت المفتوح المصدر الشرعي “نل سوفت سكريبتابل إنستول سيستم” (Nullsoft Scriptable Install System)، وتعمل كأرشيف ذاتي الاستخراج (SFX). لوحظ أن الهجمات تتضمن خطوات لتجنب اكتشافها من قبل البائعين الأمنيين من خلال فحص المحاكيات والبيئات المحمية، مما يتسبب في إيقاف البرمجية الخبيثة أو استئنافها بعد تأخير 10,000 مللي ثانية، وهي تقنية لوحظت أيضًا في زراعات “أويكن ليخو”.

الأفكار الأخيرة

تم تصميم “لومّا ستيلر” لجمع معلومات النظام والبرامج المثبتة من الأجهزة المخترقة، بالإضافة إلى بيانات حساسة مثل ملفات تعريف الارتباط، أسماء المستخدمين، كلمات المرور، أرقام بطاقات البنكية، وسجلات الاتصال. كما أنه قادر على سرقة البيانات من متصفحات الويب المختلفة، محافظ العملات المشفرة، امتدادات متصفحات المحافظ المشفرة (مثل “ميتا ماسك” MetaMask)، تطبيقات المصادقة، وتطبيقات مثل “أني ديسك” (AnyDesk) و”كي باس” (KeePass).

تستند الهجمات الأخيرة للمجموعة على استخدام “لومّا ستيلر”، الذي يجمع كمية كبيرة من البيانات من الأجهزة المصابة، بما في ذلك تفاصيل البنوك المخزنة في المتصفحات وملفات المحافظ المشفرة. تعتمد المجموعة على الأدوات الخبيثة المتاحة بسهولة التي يتم الحصول عليها من منتديات الإنترنت المظلم، بدلاً من تطوير أدواتها الخاصة. العمل الوحيد الذي يقومون به بأنفسهم هو كتابة آليات توصيل البرمجيات الخبيثة إلى جهاز الضحية وصياغة رسائل التصيد الاحتيالي المستهدفة.

هذه التطورات تعكس التحديات المستمرة التي تواجهها المؤسسات في كل من روسيا وبيلاروسيا، وتؤكد على أهمية تعزيز الدفاعات السيبرانية والتحقق الدوري من البنية التحتية الأمنية. في ظل هذه التهديدات المتزايدة، كيف يمكن للمؤسسات تحسين استراتيجيات الأمن السيبراني الخاصة بها لمواجهة هذه الأنواع من الهجمات؟