تستغل جهات تهديد مرفقات مسلحة تُرسل عبر رسائل تصيّد لإصابة مضيفين ببرمجية خبيثة يبدو أنها تستهدف قطاعات الدفاع في روسيا وبيلاروس. وسُجلت الحملة، المسماة من قِبل Seqrite بـ Operation SkyCloak، في تقارير متعددة بينها تقارير من Cyble وSeqrite Labs، وتُظهر استخدام آلية معقدة لنشر باكدور دائم يعتمد على نسخة مُعدّلة من OpenSSH وتواصل عبر خدمة تور مخفية مُشفّرة بطبقة obfs4 لإخفاء الحركة الشبكية.
سلسلة العدوى وإرساء الثبات
تبدأ الحملة بإرسال رسائل تصيّد تحمل طعناً مرتبطاً بوثائق عسكرية لإقناع المستلمين بفتح ملف مضغوط يحتوي على مجلد مخفي وأرشيف ثانٍ مع ملف اختصار ويندوز (LNK). عند فتح الاختصار يُطلق ذلك سلسلة متعددة المراحل من العدوى. المرحلة الأولية تتضمن أوامر PowerShell تعمل كـ stager تقوم بفك حزم وسيطة ثم تهيئة بقية السلسلة. يُظهر التحليل أن البرمجية تكتب عنوان خدمة تور (نصّيًا) في ملف باسم “hostname” داخل مسار مستخدم ضمن AppData\Roaming\logicpro\socketExecutingLoggingIncrementalCompiler\، وتعد ملفاً تنفيذياً مُعاد تسميته “githubdesktop.exe” (نسخة مُعاد تسميتها من sshd.exe الخاص بـ OpenSSH) لتشغيل خدمة SSH دائمة تُدار عبر مفاتيح مُثبّتة مسبقاً داخل مجلد “logicpro”.
قدرات المكوّنات وآليات التخفّي
يتضمن السلسلة مُكوّن PowerShell وسيطة تختبر بيئة التشغيل قبل المتابعة، مثل التحقق من وجود 10 ملفات LNK حديثة على الأقل وتحقق أن عدد العمليات الجارية يساوي أو يتجاوز 50 عملية، وإلا يتوقف التنفيذ فوراً. تُستخدم هذه الفحوصات كآليات وعي بيئي لتمييز أجهزة الاختبار أو الحاضنات (sandboxes) التي عادةً ما تعرض نشاط مستخدم أقل. بعد تجاوز الفحوصات يظهر للضحية مستند PDF مُضلّل كطُعم بينما تُنشأ مهمّة مجدولة باسم “githubdesktopMaintenance” تعمل بعد تسجيل دخول المستخدم كل يوم في الساعة 10:21 صباحاً بالتوقيت العالمي المنسق لتشغيل “logicpro/githubdesktop.exe”. كما تُنشأ مهمة مجدولة ثانية لتشغيل “logicpro/pinterest.exe”، وهو ثنائي تور مخصّص يُنشىء خدمة مخفية تتصل بعنوان .onion المُسجّل باستخدام obfs4، ويُطبّق توجيه منافذ لخدمات حسّاسة مثل RDP وSSH وSMB لتمكين الوصول إلى موارد النظام عبر شبكة تور.
بيانات مُسرَّبة، وصول دائم، وسياق التهديد
عند إقامة الاتصال تُجرى عمليات استجلاب لمعلومات النظام بالإضافة إلى إرسال عنوان .onion فريد يعرّف النظام المخترق عبر أمر curl، ما يتيح للمهاجم التحكم عن بُعد بعد استلام عنوان الضحية عبر قناة القيادة والتحكم. لم تُحدد الشركات التحقيقية هوية الجهة المنفذة، لكنّ سلوكيات الحملة تتوافق مع نشاط تجسسي شرقي أوروبي استهدف قطاعات دفاع وحكومية. تقدّر Cyble بثقة متوسطة أن الحملة تتقاطع تكتيكياً مع عملية سابقة راصدتها CERT-UA تحت اسم UAC-0125. تسمح هذه البنية للمهاجمين بالوصول إلى SSH وRDP وSFTP وSMB عبر خدمات تور الخفية، مما يمنحهم سيطرة كاملة على الأنظمة مع الحفاظ على مستوى عالٍ من عدم الكشف عن الهوية بفضل العناوين المجهولة والمفاتيح التشفيرية المثبتة مسبقاً.
