أعلنت “فريق الاستجابة للطوارئ الحاسوبية” في أوكرانيا (CERT-UA) عن تسجيل ما لا يقل عن ثلاث هجمات إلكترونية استهدفت هيئات الإدارة الحكومية ومنشآت البنية التحتية الحيوية في البلاد بهدف سرقة البيانات الحساسة. هذه الحملة تبرز التحديات المستمرة التي تواجهها الدول في حماية بياناتها الأساسية من التهديدات الإلكترونية المتزايدة.

تحليل مفصل وسياق تاريخي

تضمنت هذه الحملة استخدام حسابات بريد إلكتروني مخترقة لإرسال رسائل تصيد احتيالي تحتوي على روابط تشير إلى خدمات شرعية مثل DropMeFiles و. في بعض الحالات، تم تضمين الروابط داخل ملفات PDF. الهدف من هذه الرسائل كان خلق إحساس زائف بالاستعجال من خلال الادعاء بأن وكالة حكومية أوكرانية تخطط لخفض الرواتب، مما يدفع المستلم للنقر على الرابط لعرض قائمة الموظفين المتأثرين.

عند زيارة هذه الروابط، يتم تحميل Visual Basic Script (VBS) الذي صمم لجلب وتنفيذ PowerShell script قادر على جمع الملفات التي تتطابق مع مجموعة معينة من الامتدادات والتقاط لقطات شاشة. هذه الأنشطة تُنسب إلى مجموعة تهديد تُعرف باسم UAC-0219، والتي يُقال إنها نشطة منذ خريف 2024، حيث استخدمت في البداية مزيجاً من ملفات EXE binaries وVBS stealer وبرنامج تحرير الصور الشرعي المعروف باسم IrfanView لتحقيق أهدافها.

تأثيرات الأمن السيبراني والتحديات المستقبلية

أطلقت CERT-UA على محمل VBS وPowerShell malware اسم WRECKSTEEL. ولم تُنسب الهجمات إلى أي دولة معينة. تأتي هذه التطورات في وقت حذرت فيه شركة Kaspersky من أن ممثل التهديد المعروف باسم Head Mare استهدف العديد من الكيانات الروسية ببرمجية خبيثة تُعرف باسم PhantomPyramid، القادرة على معالجة الأوامر الصادرة من خلال command-and-control (C2) server، بالإضافة إلى تنزيل وتشغيل حمولات إضافية مثل MeshAgent.

كما تعرضت الشركات الروسية في قطاع الطاقة والشركات الصناعية والموردين والمطورين للمكونات الإلكترونية لهجمات تصيد احتيالي من قبل ممثل تهديد يُعرف باسم Unicorn، الذي استخدم Trojan VBS مصمم لسرقة الملفات والصور من الأجهزة المصابة.

الاتجاهات السيبرانية والمتغيرات العالمية

في نهاية الشهر الماضي، كشفت مختبرات SEQRITE أن الشبكات الأكاديمية والحكومية والدفاعية في روسيا تتعرض لهجمات باستخدام مستندات وهمية مسلحة، غالباً ما يتم إرسالها عبر رسائل بريد إلكتروني تصيدية، كجزء من حملة تُعرف باسم Operation HollowQuill. يُعتقد أن هذه الهجمات بدأت حوالي ديسمبر 2024. تعتمد الأنشطة على حيل الهندسة الاجتماعية، حيث يتم تمويه ملفات PDF المليئة بالبرمجيات الخبيثة كدعوات بحثية وبيانات حكومية لإغراء المستخدمين غير المشتبه بهم بتفعيل سلسلة الهجوم.

قال الباحث الأمني Subhajeet Singha: “يتم تسليم كيان التهديد ملف RAR ضار يحتوي على .NET malware dropper، الذي يقوم بدوره بإسقاط محمل Golang shellcode بالإضافة إلى تطبيق OneDrive الشرعي وملف PDF وهمي مع حمولة نهائية من Cobalt Strike.

التفاعل والنقاش

ما الذي يمكن أن تفعله الحكومات والشركات لتعزيز دفاعاتها ضد التهديدات السيبرانية المتزايدة؟ هل يمكن أن نشهد تعاوناً دولياً أكثر فعالية لمواجهة هذه التحديات؟ ندعو القراء لمشاركتنا آرائهم وتعليقاتهم حول الإجراءات الوقائية الممكنة.