رصد باحثو Fortinet FortiGuard Labs حملة تصيّد متقدمة تستهدف مستخدمين في روسيا عبر مستندات ذات طابع أعمال تبدو طبيعية، لكنها تخفي أنشطة خبيثة في الخلفية. تبدأ العملية بملفات مضغوطة تحتوي على مستندات وهمية وملف اختصار (LNK) بأسماء روسية مضللة، ليُنفذ أوامر PowerShell تستدعي سكربتات من مستودع GitHub. هذه السكربتات تُخفي التنفيذ، تُنشئ مستندات خداعية، وتُبلغ المهاجم عبر واجهة Telegram Bot API بنجاح المرحلة الأولى، قبل الانتقال إلى مراحل لاحقة أكثر تعقيداً.
استغلال الخدمات السحابية وتعطيل الدفاعات
الحملة تميزت باستخدام خدمات سحابية عامة لتوزيع الحمولة: GitHub للسكربتات وDropbox للملفات التنفيذية، ما يصعّب جهود الإزالة. كما استغل المهاجمون أداة defendnot لتعطيل Microsoft Defender عبر تسجيل برنامج مضاد فيروسات وهمي، مما يجعل النظام يعتقد بوجود حماية بديلة. لاحقاً، تُنفذ البرمجية إجراءات لإخفاء النشاط، تعطيل أدوات إدارية وتشخيصية في ويندوز، وتغيير سياسات السجل لتعطيل آليات الاسترداد.
حمولة Amnesia RAT والقدرات التخريبية
إحدى الحمولة النهائية هي Amnesia RAT، برمجية وصول عن بُعد تُسترجع من Dropbox وتتيح للمهاجم سيطرة كاملة على النظام. قدراتها تشمل سرقة بيانات من المتصفحات، محافظ العملات الرقمية، تطبيقات مثل Discord وSteam وTelegram، إضافة إلى التقاط صور للشاشة كل 30 ثانية، تسجيل الصوت عبر الميكروفون، والتقاط صور من الكاميرا. كما تدعم تنفيذ أوامر شل، إنهاء العمليات، ونشر برمجيات إضافية، مع نقل البيانات عبر HTTPS باستخدام Telegram Bot API أو خدمات استضافة خارجية مثل GoFile.
الفدية المشتقة من Hakuna Matata وآليات التضليل
الحمولة الثانية هي برمجية فدية مشتقة من عائلة Hakuna Matata، تُشفّر المستندات والصور والأكواد والملفات التطبيقية بعد تعطيل العمليات التي قد تعيق عملها. كما تراقب محتوى الحافظة وتستبدل عناوين محافظ العملات الرقمية بعناوين يسيطر عليها المهاجمون، ما يتيح لهم تحويل الأموال بشكل خفي. تنتهي سلسلة العدوى بنشر WinLocker لتقييد تفاعل المستخدم مع النظام. هذه الحملة تُظهر كيف يمكن للبرمجيات الخبيثة الحديثة تحقيق اختراق كامل دون استغلال ثغرات برمجية، عبر إساءة استخدام خصائص ويندوز الأصلية وأدواته الإدارية.
سياق أوسع: هجمات متزامنة على المؤسسات الروسية
الهجوم يأتي في وقت تتعرض فيه أقسام الموارد البشرية والرواتب والإدارات الداخلية في شركات روسية لهجمات تصيّد أخرى يقودها تهديد يُعرف بـ UNG0902 عبر حملة “Operation DupeHike”، باستخدام برمجية DUPERUNNER لتحميل إطار عمل التحكم AdaptixC2. كما رُصدت أنشطة لمجموعة أخرى تُعرف باسم Paper Werewolf (GOFFEE)، التي استخدمت مستندات مولدة بالذكاء الاصطناعي وملفات DLL مدمجة كإضافات Excel XLL لنشر باب خلفي باسم EchoGather، قادر على جمع معلومات النظام وتنفيذ أوامر ونقل ملفات عبر خوادم C2.
