كشفت شركة Proofpoint عن حملة موجهة ضد موظفي العمليات في شركات الطاقة المرتبطة بمشاريع داخل باكستان. تعتمد الحملة على رسائل بريد إلكتروني خبيثة تحاكي دعوات لحضور معرض ومؤتمر الطاقة الباكستاني (PEEC)، حيث يتم إرسالها من حسابات مخترقة تابعة لجامعة باكستانية وجهة حكومية، ما يمنحها مصداقية أكبر أمام المستلمين.
آلية الخداع عبر تحديث مزيف
تتضمن الرسائل مرفقات بصيغة PDF، وعند فتحها يظهر تنبيه مزيف يطلب من الضحية تثبيت تحديث لبرنامج Adobe Acrobat Reader. النقر على هذا التنبيه يقود إلى تحميل مورد تطبيق ClickOnce، والذي يقوم بدوره بتنزيل إطار عمل التحكم والسيطرة المعروف باسم Havoc Demon C2، مما يمنح المهاجمين قدرة كاملة على إدارة الأجهزة المصابة.
تقنيات الاستهداف المحدود
أوضحت Proofpoint أن سلسلة إعادة التوجيه كانت محمية بآليات geofencing والبصمة الرقمية للمتصفح، وهو ما حدّ من وصول الحملة إلى أهدافها المقصودة فقط، وقلل من احتمالية اكتشافها عبر التحليل الآلي. هذا الأسلوب يعكس دقة عالية في الاستهداف، حيث يتم حصر الضحايا في نطاق جغرافي محدد مع منع وصول الباحثين الأمنيين غير المستهدفين.
ارتباط الحملة بأنشطة سابقة
تمت تسمية النشاط الجديد بـ UNK_VaporVibes، ويُعتقد أنه يشترك في بعض السمات مع نشاط معروف سابقًا باسم SloppyLemming. هذا الربط يعزز فرضية أن الجهة المنفذة قد تكون جزءًا من مجموعة تهديد مستمرة في تطوير أساليبها لاستهداف قطاعات حيوية مثل الطاقة، والتي تُعد من أكثر القطاعات حساسية وتأثيرًا على الأمن القومي.
