برنامج PathWiper الضار الجديد لمسح البيانات يعطل البنية التحتية الحيوية في أوكرانيا خلال هجوم 2025

برنامج PathWiper الضار الجديد لمسح البيانات يعطل البنية التحتية الحيوية في أوكرانيا خلال هجوم 2025
برنامج PathWiper الضار الجديد لمسح البيانات يعطل البنية التحتية الحيوية في أوكرانيا خلال هجوم 2025
شارك هذا الخبر

كشفت شركة “سيسكو تالوس” عن استهداف كيان حيوي في البنية التحتية الأوكرانية ببرنامج ضار جديد لمسح البيانات يُدعى PathWiper، لم يُرصد سابقًا.

وقال الباحثون “جاكوب فين” و”دميترو كورزيفين” و”أشير مالهورا” في تحليل نُشر الخميس:

“نُفذ الهجوم عبر إطار عمل شرعي لإدارة نقاط النهاية، مما يشير إلى أن المهاجمين كان لديهم على الأرجح وصول إلى لوحة التحكم الإدارية، والتي استُخدمت بعد ذلك لإصدار أوامر خبيثة ونشر PathWiper عبر الأجهزة المتصلة.”

ويُعتقد أن الهجوم من عمل مجموعة متقدمة وثابتة التهديد (APT) مرتبطة بروسيا، استنادًا إلى الأساليب المستخدمة والتشابه مع برامج ضارّة أخرى استُخدمت في هجمات سابقة ضد أوكرانيا.

وأوضحت “تالوس” أن الأوامر الصادرة من لوحة التحكم استُقبلت بواسطة العميل المُثبت على أجهزة الضحايا، ثم نُفذت كملف دُفعة (BAT). بدوره، احتوى ملف BAT على أمر لتشغيل ملف فيجوال بيسك سكريبت (VBScript) خبيث في مجلد Windows TEMP باسم uacinstall.vbs، والذي نُقل أيضًا إلى الأجهزة عبر لوحة التحكم الإدارية. ثم قام ملف VBScript بإسقاط وتنفيذ البرنامج الضار sha256sum.exe في المجلد نفسه.

وأضافت “تالوس”:

“حاول المهاجمون تقليد أسماء الملفات والإجراءات المستخدمة من قِبل الأداة الإدارية، مما يشير إلى معرفتهم المسبقة بلوحة التحعملياتها في بيئة الضحية.”

كيف يعمل PathWiper؟

  • يجمع قائمة بأجهزة التخزين المتصلة (محركات أقراص، وحدات تخزين، مسارات شبكية).

  • ينشئ سلسلة عمليات منفصلة لكل مسار لكتابة بيانات عشوائية فوق الملفات.

  • يستهدف سجلات نظام الملفات NTFS مثل MBR و$MFT و$LogFile وغيرها.

  • يحاول فصل وحدات التخزين لمنع استعادة البيانات.

صلات محتملة بـ HermeticWiper

يُظهر PathWiper تشابهًا مع برنامج HermeticWiper (المعروف أيضًا باسم FoxBlade أو KillDisk)، الذي ظهر بالتزامن مع الغزو الروسي لأوكرانيا في فبراير ٢٠٢٤، والذي نُسب إلى مجموعة Sandworm الروسية. ورغم تشابههما في استهداف MBR وملفات NTFS، إلا أن آلية الإتلاف تختلف بينهما.

هجمات متزامنة: “الذئب الصامت” يستهدف روسيا ومولدوفا

بالتزامن مع اكتشاف PathWiper، كشفت شركة BI.ZONE الروسية عن حملتين جديدتين في مارس ٢٠٢٥ نفذتهما مجموعة Silent Werewolf ضد شركات في مولدوفا وروسيا، باستخدام حمولات خبيثة مثل XDigo.

من بين الأهداف:

  • قطاعات الطاقة النووية والطائرات والهندسة الميكانيكية في روسيا.

  • بدأت الهجمات ببريد تصيد يحمل ملف ZIP به ملف LNK خبيث، يستغل ثغرة DLL Side-Loading عبر ملف شرعي (DeviceMetadataWizard.exe).

مجموعة BO Team المؤيدة لأوكرانيا تضرب روسيا

من جهة أخرى، تعرضت شركات روسية مملوكة للدولة في قطاعات التقنية والاتصالات لهجمات إلكترونية من مجموعة BO Team (المعروفة أيضًا باسم Black Owl)، التي تستخدم:

  • أدوات مثل Mythic وCobalt Strike،برمجيات خبيثة مثل DarkGate وRemcos RAT،تكتيكات مثل تشفير البيانات ومسح النسخ الاحتياطية والابتزاز

وسوم
محمد طاهر
محمد طاهر
المقالات: 378

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة