كشفت شركة كاسبرسكي عن سلسلة هجمات إلكترونية تستهدف روسيا ودول رابطة الدول المستقلة (CIS)، تُنسب إلى مجموعة تهديدات متقدمة (APT) تُعرف باسم “راير ويروولف” (المعروفة سابقًا باسم “راير وولف”).
برمجيات شرعية لأهداف خبيثة:
تميزت هذه المجموعة باستخدامها برمجيات شرعية من جهات خارجية بدلاً من تطوير برامج ضارة خاصة بها. وقالت كاسبرسكي:
“يتم تنفيذ الوظائف الضارة عبر ملفات أوامر (Batch) ونصوص باورشيل، بهدف الوصول عن بُعد إلى الأنظمة وسرقة بيانات الاعتماد وتثبيت برنامج تعدين العملات الرقمية XMRig.”
نطاق الهجمات:
-
استهدفت مئات المستخدمين في روسيا، خاصة في المؤسسات الصناعية والمدارس الهندسية.
-
سُجلت إصابات محدودة في بيلاروسيا وكازاخستان.
-
تُعتبر المجموعة نشطة منذ ٢٠١٩، وتُعرف أيضًا بأسماء مثل “ليبراريان غولز” و“ريزيت”.
آلية الاختراق:
-
البريد الاحتيالي: يستخدم المهاجمون رسائل تصيد تحتوي على أرشيفات محمية بكلمة مرور، تشمل ملفات تنفيذية ووثيقة PDF مزيفة تشبه أمر دفع.
-
برمجيات مشروعة: يتم تثبيت أدوات مثل “4t Tray Minimizer” (لإخفاء التطبيقات النشطة) و“Defender Control” (لتعطيل مضاد الفيروسات) و“Blat” (لإرسال البيانات المسروقة عبر البريد).
-
الوصول عن بُعد: يستخدم المهاجمون برنامج AnyDesk ونصوص باورشيل لتنشيط النظام الساعة ١ صباحًا (توقيت محلي) والتحكم به لمدة ٤ ساعات قبل إيقافه الساعة ٥ صباحًا.
تعقيد التتبع:
أكدت كاسبرسكي أن استخدام برمجيات شرعية يجعل كشف الهجمات وتحديد هوية المهاجمين أكثر صعوبة، رغم اعتمادهم الأساسي على نصوص أوامر بسيطة.
مجموعة “دارك جابون” تطلق هجمات بفيروس “لوكبيت 3.0” على روسيا
في سياق متصل، كشفت بوزيتيف تكنولوجيز عن مجموعة أخرى تُدعى “دارك جابون” (نشطة منذ مايو ٢٠٢٣)، تستخدم فيروس لوكبيت 3.0 لاستهداف مؤسسات روسية بدوافع مالية.
آلية الهجوم:
-
رسائل تصيد تحتوي على ملفات RTF وشاشات توقف ويندوز (SCR) لنشر الفيروس.
-
تُستخدم أدوات مثل XWorm وRevenge RAT لتعزيز السيطرة على الأنظمة.
تمييز المجموعة:
أشار الباحث فيكتور كازاكوف إلى أن “دارك جابون” تعمل بشكل مستقل وليست عميلاً لخدمة لوكبيت كبرنامج إجرامي (RaaS)، حيث:
-
تستخدم نسخة متاحة للجمهور من الفيروس.
-
لا توجد أدلة على سرقة بيانات من الشركات المُستهدفة.
-
تهديدات بنشر المعلومات المسروقة عبر مواقع تسريب البيانات (DLP) غير فاعلة.
