في تطور جديد يشير إلى تصاعد التهديدات الإلكترونية، تم التعرف على جهة التهديد المعروفة باسم باتش وورك (Patchwork) وهي تنفذ حملة تصيد احتيالي مستهدفة شركات الدفاع التركية بهدف جمع معلومات استخباراتية استراتيجية. تأتي هذه الحملة في ظل تعميق التعاون الدفاعي بين باكستان وتركيا، والصراعات العسكرية الحديثة بين الهند وباكستان.
تفاصيل الحملة وأهدافها
أفادت أرتيك وولف لابز (Arctic Wolf Labs) في تقرير تقني نُشر هذا الأسبوع، بأن الحملة تعتمد على سلسلة تنفيذ مكونة من خمس مراحل يتم توصيلها عبر ملفات (LNK) خبيثة تتنكر في هيئة دعوات لمؤتمرات موجهة إلى أهداف مهتمة بأنظمة المركبات غير المأهولة. بالإضافة إلى ذلك، استهدفت الحملة مصنعاً غير مُسمى لأنظمة الصواريخ الموجهة بدقة، مما يعكس أهدافاً جيوسياسية بحتة.
من هي باتش وورك؟
تُعرف باتش وورك (Patchwork) أيضاً بأسماء أخرى مثل APT-C-09، APT-Q-36، وDropping Elephant، وتُعتبر جهة تهديد مدعومة من دولة ذات أصول هندية. ولها تاريخ طويل في استهداف كيانات في الصين وباكستان ودول أخرى في جنوب آسيا منذ عام 2009. في العام الماضي، وثق فريق نونسيك 404 (Knownsec 404 Team) استهداف باتش وورك لكيانات مرتبطة ببهوتان لتوصيل إطار عمل بروت راتل سي 4 (Brute Ratel C4) وإصدار محدث من خلفية تسمى بي جو شيل (PGoShell).
التوسع في الأهداف
منذ بداية عام 2025، ارتبطت باتش وورك بحملات استهدفت الجامعات الصينية، مستخدمة طعوم تتعلق بشبكات الطاقة في البلاد لتوصيل محمل مكتوب بلغة Rust يقوم بفك تشفير وإطلاق حصان طروادة مكتوب بلغة C# يسمى بروتيجو (Protego) لجمع مجموعة واسعة من المعلومات من الأنظمة المصابة.
استهداف تركيا وتوسع الأهداف
تشير استهدافات تركيا من قبل مجموعة باتش وورك إلى توسع نطاق الأهداف، حيث تستخدم ملفات اختصار الويندوز (LNK) الخبيثة التي يتم توزيعها عبر رسائل البريد الإلكتروني التصيدية كنقطة انطلاق لعملية إصابة متعددة المراحل.
تحديداً، تم تصميم ملف (LNK) لاستدعاء أوامر باور شيل (PowerShell) مسؤولة عن جلب حمولات إضافية من خادم خارجي (“expouav[.]org”)، وهو نطاق تم إنشاؤه في 25 يونيو 2025 يستضيف طُعماً بصيغة PDF يحاكي مؤتمراً دولياً عن أنظمة المركبات غير المأهولة، وتفاصيله موجودة على موقع waset[.]org الشرعي.
التداعيات الأمنية وآفاق المستقبل
تخدم الوثيقة بصيغة PDF كطُعم مرئي مصمم لتشتيت المستخدم بينما تستمر سلسلة التنفيذ في الخلفية بشكل صامت. يحدث هذا الاستهداف في وقت تسيطر فيه تركيا على 65% من سوق تصدير الطائرات بدون طيار العالمي وتطور قدرات صواريخ تفوق سرعة الصوت، بينما تعزز في الوقت نفسه العلاقات الدفاعية مع باكستان خلال فترة من التوترات المشحونة بين الهند وباكستان.
من بين العناصر التي تم تنزيلها توجد مكتبة ديناميكية خبيثة (DLL) يتم إطلاقها باستخدام تحميل جانبي للمكتبات (DLL side-loading) من خلال مهمة مجدولة، مما يؤدي في النهاية إلى تنفيذ تعليمات برمجية لتنفيذ استطلاع واسع النطاق للنظام المصاب، بما في ذلك التقاط لقطات شاشة وإرسال التفاصيل مرة أخرى إلى الخادم.
يمثل هذا تطوراً هاماً في قدرات جهة التهديد، حيث تنتقل من متغيرات DLL x64 التي تمت ملاحظتها في نوفمبر 2024، إلى المتغيرات الحالية x86 PE ذات الهياكل الأوامر المحسنة. وتظهر مجموعة دروبينج إليفانت (Dropping Elephant) استثماراً وتطويراً تشغيلياً مستمراً من خلال التنويع المعماري من DLL x64 إلى تنسيقات PE x86، وتنفيذ بروتوكول تحكم (C2) معزز من خلال انتحال مواقع ويب شرعية.
النقاش والتفاعل
مع التوسع المستمر في الأنشطة الخبيثة لجهات تهديد مثل باتش وورك، كيف يمكن للمنظمات في مختلف القطاعات تعزيز دفاعاتها السيبرانية للوقوف ضد مثل هذه التهديدات المتطورة؟ نرحب بمشاركاتكم وآرائكم على تويتر وفيسبوك.
شاركنا رأيك بتعليق