كشفت شركة كاسبرسكي للأمن السيبراني عن تحول لافت في أساليب مجموعة التهديد السيبراني المعروفة باسم “توميريس”، التي باتت تعتمد بشكل متزايد على خدمات عامة مثل تيليغرام وديسكورد كخوادم للتحكم والسيطرة (C2) في هجماتها الإلكترونية. ووفقًا لتحليل أجراه الباحثان أوليغ كوبرِيف وأرتيوم أوشكوف، فإن هذا التوجه الجديد يهدف إلى تمويه حركة البيانات الخبيثة ضمن أنشطة شرعية لتفادي رصد أدوات الأمن السيبراني.
استهداف دبلوماسي مكثف في روسيا وآسيا الوسطى
تركزت هجمات توميريس الأخيرة على وزارات الخارجية والمنظمات الحكومية والدولية، خاصة في روسيا ودول آسيا الوسطى مثل تركمانستان، قرغيزستان، طاجيكستان، وأوزبكستان. وقد استخدمت المجموعة رسائل تصيد احتيالي موجهة بعناية، مكتوبة بلغات محلية، ومرفقة بملفات RAR محمية بكلمات مرور مذكورة في نص الرسالة. تحتوي هذه الملفات على برامج تنفيذية تتنكر في هيئة مستندات وورد، لكنها في الواقع تنشر أدوات خبيثة مثل “Reverse Shells” و”AdaptixC2″ لجمع معلومات النظام والحفاظ على وجود دائم في الأجهزة المصابة.
ترسانة برمجية متعددة اللغات لتعقيد الرصد
تتميز أدوات توميريس البرمجية بتنوع لغاتها البرمجية، ما يمنحها مرونة تشغيلية ويصعب من مهمة اكتشافها. تشمل هذه الأدوات:
– أدوات تحكم عن بعد مكتوبة بلغات C#، Rust، Go، وPowerShell.
– برامج خلفية مثل “Distopia” المبنية على مشروع مفتوح المصدر “dystopia-c2”.
– أدوات تحميل خبيثة تعتمد على ديسكورد وتيليغرام كقنوات تواصل مع الخوادم.
– أدوات لجمع الملفات الحساسة بصيغ jpg، png، pdf، txt، docx، وdoc.
خلفية المجموعة وصلاتها بجهات تهديد أخرى
ظهرت توميريس لأول مرة في سبتمبر 2021، حين ربطتها كاسبرسكي ببرمجيات خبيثة مثل SUNSHUTTLE وKazuar، المرتبطة بمجموعات تهديد روسية مثل APT29 وTurla. إلا أن التحليلات اللاحقة من مايكروسوفت وشركات أمنية أخرى مثل Cisco Talos وGroup-IB رجحت أن توميريس كيان مستقل يتمركز في كازاخستان، ويُعرف أيضًا باسم Storm-0473. وقد تم ربطها بمجموعات تهديد أخرى مثل Cavalry Werewolf وSilent Lynx، ما يعزز فرضية وجود شبكة معقدة من الجهات الفاعلة تتقاطع في الأدوات والأهداف.
