في ظل تصاعد التهديدات السيبرانية حول العالم، كشفت مؤسسة الاستجابة لطوارئ الحاسوب في أوكرانيا (CERT-UA) عن سلسلة جديدة من الهجمات الإلكترونية التي تستهدف المؤسسات الأوكرانية باستخدام برمجيات خبيثة لسرقة المعلومات. تأتي هذه الأنشطة في إطار جهود مستمرة لاستهداف التشكيلات العسكرية والوكالات الأمنية والهيئات الحكومية المحلية، خاصة تلك الواقعة بالقرب من الحدود الشرقية لأوكرانيا.

التحليل التفصيلي والسياق

تتضمن هذه الهجمات توزيع رسائل تصيد تحتوي على ملفات إكسل (Microsoft Excel) مفعلة بالماكرو، والتي، عند فتحها، تؤدي إلى نشر نوعين من البرمجيات الخبيثة. الأول هو سكريبت (PowerShell) مأخوذ من مستودع (PSSW100AVB) على منصة (GitHub)، والذي يفتح اتصالاً عكسيًا (Reverse Shell)، أما الثاني فهو برنامج سرقة غير موثق سابقًا يسمى (GIFTEDCROOK).

تشير أسماء الملفات وعناوين رسائل البريد الإلكتروني إلى مواضيع حساسة مثل إزالة الألغام والغرامات الإدارية وإنتاج الطائرات المسيرة وتعويض الممتلكات المدمرة، مما يزيد من احتمالية فتح الضحايا لهذه الرسائل. يعمل (GIFTEDCROOK) المكتوب بلغة (C/C++) على سرقة بيانات حساسة من متصفحات الويب مثل (Google Chrome) و(Microsoft Edge) و(Mozilla Firefox)، مثل ملفات تعريف الارتباط وسجل التصفح وبيانات المصادقة.

التأثير والآثار الأمنية

تُرسل رسائل البريد الإلكتروني من حسابات مخترقة عبر واجهات الويب لعملاء البريد الإلكتروني لإضفاء طابع الشرعية عليها وخداع الضحايا المحتملين لفتح الملفات. أرجعت (CERT-UA) هذا النشاط إلى مجموعة تهديد تُعرف باسم (UAC-0226)، على الرغم من عدم ربطها ببلد معين.

تأتي هذه التطورات في الوقت الذي تم فيه ربط جهة تجسس مشتبه بها يطلق عليها (UNC5837) بحملة تصيد تستهدف المنظمات الحكومية والعسكرية الأوروبية في أكتوبر 2024. وقد استخدمت الحملة مرفقات ملفات (RDP) موقعة لإنشاء اتصالات (Remote Desktop Protocol) من أجهزة الضحايا.

رؤى الخبراء والتوسع في الموضوع

تُظهر هذه الأمثلة كيف تتطور استراتيجيات الهجمات السيبرانية لتصبح أكثر تعقيدًا وابتكارًا. فبدلاً من الهجمات التقليدية التي تركز على الجلسات التفاعلية، استُخدمت هنا إعادة توجيه الموارد وتطبيقات (RemoteApps) لتقديم تطبيقات يتحكم فيها المهاجم للضحايا.

يشير تقرير مجموعة (Google Threat Intelligence Group) إلى استخدام أداة مفتوحة المصدر تدعى (PyRDP) لأتمتة أنشطة خبيثة مثل استخراج الملفات ونسخ بيانات الحافظة، بما في ذلك البيانات الحساسة مثل كلمات المرور.

التفاعل والنقاش

في ظل هذه التهديدات المتزايدة، يُطرح السؤال: كيف يمكن للمؤسسات تعزيز دفاعاتها ضد هذه الأنواع من الهجمات السيبرانية المتطورة؟ شاركوا آرائكم وتجاربكم عبر Facebook وX (Twitter).