حملة تصيّد خبيثة تستهدف مؤسسات صناعية وحكومية في إيطاليا وفنلندا والسعودية باستخدام محمّل "Caminho" » مركز الأمن السيبراني للأبحاث والدراسات CCRS

مجموعة MuddyWater الإيرانية تطلق برمجية RustyWater RAT عبر هجمات تصيّد موجّهة تستهدف قطاعات الشرق الأوسط

كشفت شركة الأمن السيبراني Cyble عن حملة تصيّد متقدمة تستهدف مؤسسات صناعية وحكومية في كل من إيطاليا وفنلندا والمملكة العربية السعودية. الحملة تعتمد على محمّل برمجي يُعرف باسم Caminho، وهو أداة خبيثة تُستخدم لتوزيع مجموعة واسعة من البرمجيات الضارة، من بينها PureLogs وXWorm وKatz Stealer وDCRat وRemcos RAT.

ما يميز هذه الحملة هو تنوع أساليب العدوى، حيث يستخدم المهاجمون مستندات أوفيس مسلّحة تستغل ثغرة CVE-2017-11882، إضافة إلى ملفات SVG خبيثة، وأرشيفات ZIP تحتوي على اختصارات LNK. ورغم هذا التنوع، فإن جميع هذه الوسائل تعتمد على محمّل موحد، ما يشير إلى أن الأداة يتم مشاركتها أو بيعها بين مجموعات مختلفة من المهاجمين.

تقنيات الإخفاء والتخفي

أحد الجوانب اللافتة في هذه الحملة هو استخدام تقنيات الإخفاء عبر الصور (Steganography)، حيث يتم استضافة ملفات صور على منصات توزيع شرعية، لكنها في الحقيقة تحتوي على تعليمات خبيثة مموهة. هذا الأسلوب يتيح للبرمجيات الضارة المرور عبر أنظمة الكشف التقليدية التي تعتمد على فحص الملفات، إذ تبدو الصور وكأنها حركة مرور طبيعية وغير ضارة.

كما أن البنية التحتية للحملة تعكس مستوى عالياً من الحرفية، إذ يتم تسجيل النطاقات بشكل دوري ومنهجي، ما يعكس وجود آلية آلية للتوزيع والتوسع. هذا يعزز قدرة المهاجمين على الاستمرار في نشر البرمجيات الضارة حتى مع محاولات الحظر أو الإغلاق.

تداعيات على المؤسسات المستهدفة

استهداف مؤسسات صناعية وحكومية في ثلاث دول مختلفة يعكس اتساع نطاق الحملة وخطورتها. فالمهاجمون لا يركزون فقط على سرقة بيانات المستخدمين، بل يسعون أيضاً إلى اختراق أنظمة حساسة قد تؤثر على قطاعات حيوية مثل التصنيع والخدمات الحكومية. وجود برمجيات مثل Remcos RAT وDCRat يشير إلى نية المهاجمين في الحصول على وصول طويل الأمد إلى الأجهزة المصابة، بما يسمح لهم بمراقبة الأنشطة وسرقة البيانات بشكل مستمر.

أهمية الاستجابة الأمنية

بحسب تقارير من شركات مثل Nextron Systems وZscaler، فإن محمّل “Caminho” ظهر في حملات مشابهة سابقة، ما يعزز فرضية أنه أصبح أداة شائعة بين مجموعات التهديد. هذا الواقع يفرض على المؤسسات المستهدفة ضرورة تعزيز دفاعاتها عبر تحديث أنظمة الحماية، مراقبة حركة المرور الشبكية، وتطبيق سياسات صارمة للتحقق من الملفات والرسائل الواردة. كما أن الوعي الأمني لدى الموظفين يبقى خط الدفاع الأول ضد مثل هذه الحملات التي تعتمد على التصيّد كمدخل رئيسي.

وسوم