تستهدف حملة تجسس سيبراني جديدة نشطاء المعارضة في بيلاروس والمنظمات العسكرية والحكومية الأوكرانية باستخدام مستندات Microsoft Excel محملة بالبرمجيات الخبيثة لنشر إصدار جديد من PicassoLoader.
مجموعة التهديدات: Ghostwriter
تم تصنيف مجموعة Ghostwriter كامتداد لحملة طويلة الأمد يقودها فاعل تهديد مرتبط ببيلاروس منذ عام 2016. يُعتقد أن هذه المجموعة تتماشى مع المصالح الأمنية الروسية وتروج لسرديات معادية لحلف الناتو.
وفقًا لتقرير فني نشره الباحث الأمني توم هيجل من SentinelOne، كانت هذه الحملة قيد الإعداد منذ يوليو – أغسطس 2024، وبدأت في المرحلة النشطة بين نوفمبر – ديسمبر 2024. وتشير العينات الحديثة من البرمجيات الخبيثة ونشاط البنية التحتية للقيادة والسيطرة (C2) إلى أن العملية لا تزال نشطة حتى الأيام الأخيرة.
سلسلة الهجوم
🔹 تبدأ سلسلة الهجوم عبر مستند مشترك على Google Drive صادر من حساب يُدعى Vladimir Nikiforech، والذي يحتوي على أرشيف RAR.
🔹 يتضمن الأرشيف ملف Excel خبيث، وعند فتحه، يُنفّذ وحدة ماكرو مشفرة بمجرد تفعيل تشغيل وحدات الماكرو من قبل الضحية.
🔹 تعمل الوحدة الخبيثة على كتابة ملف DLL يساعد في تحميل نسخة مبسطة من PicassoLoader.
آلية التنفيذ
📌 بعد تنفيذ الماكرو، يُعرض ملف Excel وهمي على الضحية، بينما يتم تنزيل حمولة إضافية في الخلفية.
📌 في يونيو 2024، استُخدمت هذه التقنية لنشر أداة الاختراق Cobalt Strike بعد الاستغلال الأولي.
📌 عثرت SentinelOne أيضًا على مستندات Excel خبيثة تحمل طُعماً مرتبطاً بأوكرانيا، حيث تقوم بتنزيل برمجيات خبيثة من رابط (sciencealert[.]shop) على هيئة صورة JPG باستخدام تقنية الإخفاء داخل الصور (Steganography)، لكن هذه الروابط لم تعد متاحة.
تكتيكات متطورة
🛑 في حادثة أخرى، تم استخدام مستند Excel مفخخ لتنزيل DLL يحمل اسم LibCMD، مصمم لتشغيل cmd.exe والتواصل مع مدخلات ومخرجات النظام مباشرةً. يتم تحميله في الذاكرة كملف .NET Assembly ويتم تشغيله.
🛑 على مدار عام 2024، استخدم Ghostwriter بشكل متكرر مزيجًا من:
✔ ملفات Excel محملة بوحدات ماكرو VBA مشفرة باستخدام Macropack
✔ برمجيات خبيثة مدمجة تعتمد على .NET ومشفرة باستخدام ConfuserEx
خلفية الهجوم
على الرغم من أن بيلاروس ليست طرفًا نشطًا في الحرب العسكرية بأوكرانيا، فإن الجهات الفاعلة المرتبطة بها تواصل تنفيذ عمليات تجسس إلكتروني ضد الأهداف الأوكرانية.
🚨 الاستنتاج :
يعكس هذا الهجوم المتقدم استمرار التهديدات السيبرانية المدعومة من الدولة، مما يؤكد على ضرورة اتخاذ تدابير أمنية صارمة لحماية البيانات والبنية التحتية الحساسة من الهجمات السيبرانية المستمرة.
