رصد فريق الاستجابة الطارئة للحوادث الحاسوبية في أوكرانيا (CERT-UA) نشاطًا جديدًا لمجموعة التهديد المعروفة باسم Ghostwriter، أو UAC-0057/UNC1151، وهي جهة مرتبطة ببيلاروسيا. المجموعة استغلت منصة التعليم الإلكتروني الأوكرانية Prometheus كطُعم في رسائل تصيّد موجّهة إلى مؤسسات حكومية منذ ربيع عام 2026، في إطار حملة متطورة تهدف إلى اختراق الأنظمة وزرع برمجيات خبيثة.
آلية الهجوم باستخدام ملفات PDF وZIP
الهجوم يبدأ برسائل بريد إلكتروني مرسلة من حسابات مخترقة، تحتوي على مرفق بصيغة PDF يتضمن رابطًا يؤدي إلى تنزيل أرشيف ZIP. هذا الأرشيف يحتوي على ملف JavaScript يُعرف باسم OYSTERFRESH، يقوم بعرض مستند وهمي لإلهاء الضحية، بينما يزرع حمولة مشفّرة باسم OYSTERBLUES داخل سجل نظام ويندوز، ويحمّل أداة أخرى تدعى OYSTERSHUCK لفك تشفير الحمولة وتنفيذها.
قدرات البرمجية الخبيثة
الحمولة OYSTERBLUES مجهزة لجمع معلومات واسعة عن النظام، مثل اسم الجهاز، حساب المستخدم، نسخة نظام التشغيل، وقت آخر تشغيل، وقائمة العمليات النشطة. هذه البيانات تُرسل إلى خادم تحكم وسيطرة (C2) عبر طلبات HTTP POST، ثم ينتظر النظام تعليمات إضافية على شكل شيفرات JavaScript يتم تنفيذها باستخدام دالة eval(). التقييم النهائي يشير إلى أن الحمولة الأخيرة هي إطار Cobalt Strike، وهو أداة محاكاة هجومية تُستخدم على نطاق واسع في أنشطة ما بعد الاختراق.
السياق الأوسع للهجمات الروسية
المجلس الوطني للأمن والدفاع في أوكرانيا كشف أن روسيا تستخدم أدوات الذكاء الاصطناعي مثل ChatGPT وGoogle Gemini لتحديد الأهداف ودمج التقنية داخل البرمجيات الخبيثة لتوليد أوامر ضارة أثناء التشغيل. هذه الهجمات تهدف إلى سرقة المعلومات الحساسة، اعتراض الاتصالات، وضمان وجود طويل الأمد داخل الشبكات المخترقة لدعم عمليات التأثير السياسي.
كما أشار المجلس إلى أن أبرز طرق الاختراق في عام 2025 شملت الهندسة الاجتماعية، استغلال الثغرات، استخدام حسابات RDP وVPN المخترقة، هجمات سلاسل التوريد، وتثبيت برمجيات غير مرخصة تحتوي على أبواب خلفية مدمجة.
حملات دعائية موازية
في تطور مرتبط، ظهرت تفاصيل عن حملة دعائية مؤيدة للكرملين بدأت منذ عام 2024، حيث تم اختراق حسابات حقيقية على منصة Bluesky تخص صحفيين وأكاديميين، واستخدامها لنشر محتوى مزيف. هذه الأنشطة نُسبت إلى شركة مقرها موسكو تُعرف باسم Social Design Agency، المرتبطة بحملة دعائية تحمل اسم Matryoshka. وقد اضطرت منصة Bluesky إلى تعليق بعض الحسابات حتى يقوم أصحابها بإعادة ضبطها.
