حملة COLDRIVER الجديدة تنضم إلى BO Team وBearlyfy في هجمات سيبرانية مُركَّزة على روسيا

حملة COLDRIVER الجديدة تنضم إلى BO Team وBearlyfy في هجمات سيبرانية مُركَّزة على روسيا
حملة COLDRIVER الجديدة تنضم إلى BO Team وBearlyfy في هجمات سيبرانية مُركَّزة على روسيا
شارك هذا الخبر

نسبت شركة Zscaler ThreatLabz إلى مجموعة التهديد الروسية المعروفة باسم COLDRIVER (تتتبعها أيضاً التسمية Callisto أو Star Blizzard أو UNC4057) حملة ClickFix متعددة المراحل استخدمت برمجية تنزيل جديدة اسمها BAITSWITCH لتسليم باب خلفي مُبني بـPowerShell تحت اسم SIMPLEFIX. وُصفت BAITSWITCH بأنها أداة تنزيل خفيفة تقوم بتحميل SIMPLEFIX، الذي يمكّن المهاجم من تنفيذ سكربتات PowerShell وأوامر ثانوية والتواصل مع خوادم القيادة والتحكم (C2).

سلسلة العدوى وتقنيات التمويه والتمكين

اتبعت الحملة أسلوب ClickFix المعهود: إيهام الضحية بإجراء تحقق CAPTCHA مزيف يدفع المستخدم لتشغيل DLL ضارة عبر مربع تشغيل Windows. تصل BAITSWITCH إلى نطاق مهاجم (“captchanom[.]top”) لطلب SIMPLEFIX، وتعرض وثيقة مموهة مخزنة على Google Drive كطُعم. تُجري BAITSWITCH عدة طلبات HTTP لإرسال معلومات النظام، واستقبال أوامر إعداد الثبات، وتخزين الحمولات المشفّرة في سجل ويندوز (Windows Registry)، ثم تنزيل stager عبر PowerShell. بعد ذلك، يقوم الـstager بتحميل SIMPLEFIX من خادم خارجي (“southprovesolutions[.]com”)، والذي بدوره ينفذ سكربتات وبايناريز ويحمّل أوامر عبر عناوين URL بعيدة.

وظائف الاستخلاص والاستهداف وتجربة الضحايا

يوجد في أحد سكربتات SIMPLEFIX خاصية استخراج معلومات قائمة ملفات وأنواع مُحدّدة من مجلدات مُعّدة سلفاً، وتظهر تشابكات بين قائمة الملفات المستهدفة وبقايا الأدوات السابقة مثل LOSTKEYS، مما يعكس اتساق نهج الاستهداف لدى المجموعة. أكدت Zscaler أن ضحايا الحملة هم في الغالب أعضاء المجتمع المدني المرتبطين بروسيا — من منظمات غير حكومية ومدافعي حقوق ونُشطاء ومفصولين من البلاد — ما يتماشى مع سلوك COLDRIVER المعروف منذ 2019.

نشاطات مُرافقة: BO Team وBearlyfy تستهدفان روسيا أيضًا

تزامن الكشف مع رصد حملات تصيّد أخرى داخل روسيا:

  • رصدت Kaspersky حملة في أوائل سبتمبر نفّذتها مجموعة BO Team (المعروفة أيضاً باسم Black Owl أو Hoody Hyena) استهدفت شركات روسية عبر أرشيفات RAR محمية بكلمة مرور، ونشرت نسخة جديدة من BrockenDoor مكتوبة بلغة C# بالإضافة إلى تحديثات لأداة ZeronetKit — خلفية بلغة Golang توفر وصولاً عن بعد، رفع/تحميل ملفات، تنفيذ أوامر، وإنشاء نفق TCP/IPv4.

  • برزت مجموعة جديدة اسمها Bearlyfy، التي استخدمت برمجيات فدية مثل LockBit 3.0 وBabuk في هجمات تستهدف شركات روسية صغيرة ثم توسعت لاحقًا نحو أهداف أكبر، مع تسجيل نحو 30 ضحية حتى أغسطس 2025 وفق تتبع F6. استخدمت Bearlyfy أحياناً استغلال ثغرات مثل Zerologon أو استهداف شريك متعاقد كمدخل أولي.

وسوم
محمد طاهر
محمد طاهر
المقالات: 784

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة