كشف فريق الاستجابة لحالات الطوارئ الحاسوبية في أوكرانيا (CERT-UA) عن تنفيذ ثلاث هجمات سيبرانية على الأقل استهدفت هيئات حكومية ومرافق البنية التحتية الحيوية، بهدف سرقة بيانات حساسة من داخل البلاد.
تفاصيل حملة التصيّد الإلكتروني
أوضح الفريق أن الهجمات اعتمدت على استخدام حسابات بريد إلكتروني مخترقة لإرسال رسائل تصيّد إلكتروني (Phishing) تحتوي على روابط تؤدي إلى خدمات شرعية مثل DropMeFiles وGoogle Drive، وقد تم إخفاء الروابط داخل مرفقات بصيغة PDF.
تسعى هذه الرسائل إلى إثارة الذعر عبر الادعاء بأن جهة حكومية أوكرانية تنوي خفض الرواتب، وتحثّ المستلمين على النقر على الرابط للاطلاع على “قائمة الموظفين المتأثرين”.
آلية الهجوم: برمجيات خبيثة باستخدام PowerShell وVBS
عند فتح الرابط، يتم تحميل برمجية خبيثة بصيغة VBS (Visual Basic Script) تقوم بجلب وتنفيذ سكريبت PowerShell، وظيفته:
-
سرقة الملفات التي تتطابق مع امتدادات محددة.
-
التقاط صور شاشة (Screenshots) من الجهاز المصاب.
أطلق فريق CERT-UA على هذا البرنامج الخبيث اسم WRECKSTEEL، وهو مكوّن من مُحمّل VBS وسكريبت PowerShell مصمم لجمع المعلومات. وأشار الفريق إلى أن هذه الأنشطة تنتمي إلى مجموعة تهديد تحمل اسم UAC-0219، والتي تنشط منذ خريف عام 2024.
في النسخ الأولى من هذه الهجمات، تم استخدام ملفات تنفيذية (EXE) مع أدوات مثل برنامج IrfanView الشهير لتحرير الصور، إضافة إلى أدوات سرقة أخرى لتحقيق أهداف الاختراق.
حملات تصيّد أخرى مرتبطة بالنزاع الأوكراني
الهجمات تزامنت مع كشف حملة تصيّد إلكتروني استهدفت جهات الدفاع والفضاء الجوي بهدف سرقة بيانات اعتماد البريد الإلكتروني عبر صفحات تسجيل دخول مزيفة.
وأشارت وحدة التحقيقات في DomainTools إلى أن هذه الصفحات أنشئت باستخدام برنامج Mailu مفتوح المصدر، والمتاح عبر GitHub. وذكرت أن اختيار جهات مرتبطة بالبنية التحتية الدفاعية والاتصالات الأوكرانية يؤكد هدف جمع المعلومات الاستخباراتية المتعلقة بالنزاع الجاري مع روسيا.
نشاط مجموعات تهديد مرتبطة بروسيا
رُصدت أيضًا مجموعات تهديد سيبراني موالية لروسيا مثل UAC-0050 وUAC-0006 تقوم بتنفيذ حملات تصيّد تحمل دوافع مالية وتجسسية منذ بداية عام 2025. تستهدف هذه الحملات:
-
الحكومات
-
قطاع الطاقة
-
المنظمات غير الحكومية (NGOs)
-
توزيع برمجيات خبيثة مثل: sLoad، Remcos RAT، NetSupport RAT، وSmokeLoader.
وفي تطور موازٍ، حذّرت شركة Kaspersky من مجموعة تهديد تُعرف باسم Head Mare استهدفت كيانات روسية باستخدام برمجية خبيثة تُدعى PhantomPyramid، تتيح تنفيذ تعليمات عن بُعد وتنزيل حمولة إضافية مثل MeshAgent.
حملة Unicorn وهجمات على الشركات الروسية
شركات الطاقة والمصانع ومورّدو الإلكترونيات الروس تعرضوا لهجمات تصيّد من جهة تهديد تُعرف باسم Unicorn، استخدمت حصان طروادة VBS لسرقة الملفات والصور من الأجهزة المصابة.
وفي نهاية مارس، كشفت مختبرات SEQRITE عن حملة أطلق عليها اسم عملية HollowQuill، استهدفت شبكات أكاديمية وحكومية ودفاعية روسية باستخدام مستندات خادعة محمّلة ببرمجيات خبيثة.
أسلوب الهجوم: مستندات PDF خبيثة وتقنيات الإغواء الاجتماعي
تعتمد هذه الهجمات على أساليب الهندسة الاجتماعية، حيث تُقدّم ملفات PDF خبيثة في شكل دعوات بحثية أو رسائل حكومية مزيفة لخداع المستخدمين.
وأوضح الباحث الأمني Subhajeet Singha أن هذه الهجمات تتضمن:
-
ملف RAR يحتوي على Dropper مبني بـ .NET
-
حمولة نهائية مكونة من Shellcode بلغة Golang
-
تطبيق OneDrive حقيقي
-
مستند PDF خادع
-
وأخيرًا: برمجية Cobalt Strike الخبيثة
توصيات أمنية لحماية البنية التحتية من الهجمات السيبرانية:
-
توخي الحذر عند فتح الرسائل والمرفقات من مصادر غير معروفة.
-
استخدام حلول الحماية من التصيّد الإلكتروني ومراقبة البريد الإلكتروني المؤسسي.
-
تطبيق سياسات أمنية صارمة عند التعامل مع ملفات PDF وروابط خارجية.
-
تحديث أدوات الحماية واستخدام تقنيات اكتشاف التهديدات المتقدمة (EDR/XDR).
-
تثقيف الموظفين حول أساليب الهندسة الاجتماعية وتقنيات الخداع الإلكتروني.
