مع تصاعد التهديدات السيبرانية في العالم الحديث، تظل روسيا واحدة من الأهداف الأساسية للعديد من مجموعات الهجمات الإلكترونية. في هذا السياق، كشفت شركة كاسبرسكي عن نتائج جديدة تشير إلى تعاون محتمل بين مجموعتي “Head Mare” و”Twelve” في شن هجمات على الكيانات الروسية. هذه النتائج تسلط الضوء على التحديات الأمنية المتزايدة التي تواجهها المؤسسات في جميع أنحاء العالم.
تحليل معمق وسياق تاريخي
تم توثيق نشاط كل من “Head Mare” و”Twelve” سابقًا في سبتمبر 2024. حيث استغلت “Head Mare” ثغرة تم تصحيحها مؤخرًا في برنامج وينرار (WinRAR) والمعروفة بـ(CVE-2023-38831) للحصول على وصول أولي وإيصال البرمجيات الخبيثة، وأحيانًا نشر برمجيات الفدية مثل “LockBit” لنظام ويندوز و”Babuk” لنظام لينكس (ESXi) مقابل فدية.
في المقابل، ركزت “Twelve” على شن هجمات تدميرية باستخدام أدوات متاحة علنيًا لتشفير بيانات الضحايا وتدمير بنيتهم التحتية بشكل لا يمكن استعادته بواسطة أداة مدمرة (wiper).
الأدوات والتقنيات المستخدمة
أظهر أحدث تحليل لكاسبرسكي استخدام “Head Mare” لأداتين جديدتين، هما “CobInt” وهي عبارة عن باب خلفي (backdoor) تم استخدامه من قبل “ExCobalt” و”Crypt Ghouls” في هجمات استهدفت شركات روسية في الماضي، بالإضافة إلى زرع خاص يُسمى “PhantomJitter” يُنصب على الخوادم لتنفيذ الأوامر عن بُعد.
لاحظت كاسبرسكي أيضاً استخدام “CobInt” في الهجمات التي شنتها “Twelve”، مما يشير إلى وجود نوع من التعاون التكتيكي بين هذه المجموعات المختلفة التي تستهدف روسيا حاليًا.
الآثار والمخاطر الأمنية
تتضمن الطرق الأخرى للوصول الأولي التي استغلها “Head Mare” إساءة استخدام ثغرات معروفة في خادم مايكروسوفت إكستشينج (Microsoft Exchange Server) مثل (CVE-2021-26855 والمعروفة بـ ProxyLogon)، بالإضافة إلى استخدام رسائل البريد الإلكتروني التصيدية التي تحتوي على مرفقات ضارة واختراق شبكات المتعاقدين لاختراق البنية التحتية للضحايا، وهي تقنية تُعرف باسم هجوم العلاقة الموثوقة (trusted relationship attack).
وفي إطار هذا الهجوم، استخدم المهاجمون “ProxyLogon” لتنفيذ أمر لتحميل وتشغيل “CobInt” على الخادم، مشيرين إلى استخدام آلية ديمومة محدثة تتجنب المهام المجدولة لصالح إنشاء مستخدمين محليين جدد مميزين على خادم منصة أتمتة الأعمال. تُستخدم هذه الحسابات بعد ذلك للاتصال بالخادم عبر RDP لنقل وتنفيذ الأدوات بشكل تفاعلي.
أدوات أخرى مستخدمة
- quser.exe، tasklist.exe، وnetstat.exe للاستطلاع النظامي
- fscan وSoftPerfect Network Scanner للاستطلاع الشبكي المحلي
- ADRecon لجمع المعلومات من Active Directory
- Mimikatz، secretsdump، وProcDump لاستخلاص بيانات الاعتماد
- RDP للحركة الجانبية
- mRemoteNG، smbexec، wmiexec، PAExec، وPsExec للتواصل مع المضيفات البعيدة
- Rclone لنقل البيانات
تحليل الخبراء وتوسع الرؤية
يأتي هذا التطور بالتزامن مع ربط BI.ZONE للمهاجم المرتبط بكوريا الشمالية المعروف باسم “ScarCruft” بحملة تصيد ضد كيان صناعي روسي غير مسمى في ديسمبر 2024. تتشابه هذه الأنشطة مع حملة أخرى أطلق عليها اسم “SHROUDED#SLEEP” التي وثقتها “Securonix” في أكتوبر 2024، مما أدى إلى نشر باب خلفي يسمى “VeilShell” في هجمات استهدفت كمبوديا ودول أخرى في جنوب شرق آسيا.
كما وثقت BI.ZONE في الشهر الماضي استمرار الهجمات السيبرانية التي قامت بها “Bloody Wolf” لنشر “NetSupport RAT” كجزء من حملة اخترقت أكثر من 400 نظام في كازاخستان وروسيا، مما يشير إلى تحول من “STRRAT”.
دعوة للنقاش والتفاعل
مع تزايد تعقيد الهجمات السيبرانية، كيف يمكن للمؤسسات تعزيز دفاعاتها ضد مثل هذه التهديدات المتطورة؟ شاركوا آرائكم وتوصياتكم على مواقع التواصل الاجتماعي الخاصة بنا على فيسبوك وX (تويتر).
شاركنا رأيك بتعليق