كشفت تقارير أمنية أن مجموعة القرصنة الروسية EncryptHub تواصل استغلال ثغرة أمنية في نظام Microsoft Windows، رغم إصدار تحديث أمني لمعالجتها، وذلك لنشر برمجيات خبيثة تهدف إلى سرقة البيانات والسيطرة على الأنظمة.
مزيج من الهندسة الاجتماعية والاستغلال التقني
بحسب باحثي Trustwave SpiderLabs، رُصدت حملة جديدة اعتمدت فيها المجموعة على دمج الهندسة الاجتماعية مع استغلال ثغرة في إطار Microsoft Management Console (MMC) المعروفة باسم CVE-2025-26633 أو MSC EvilTwin. حيث يستخدم المهاجمون ملف MSC مزيفًا لتفعيل سلسلة العدوى، في خطوة تمكّنهم من تجاوز الدفاعات الأمنية والوصول إلى البيئات الداخلية.
تُعرف المجموعة أيضًا بأسماء أخرى مثل LARVA-208 وWater Gamayun، وقد برز نشاطها منذ منتصف 2024، حيث لجأت إلى وسائل متنوعة مثل عروض التوظيف المزيفة ومراجعة المحافظ الوظيفية وحتى اختراق ألعاب Steam لنشر برمجيات سرقة المعلومات.
تفاصيل الهجمات الحديثة
تشمل أحدث أساليب الهجوم إرسال طلبات عبر Microsoft Teams يدّعي فيها المهاجمون أنهم من فريق الدعم التقني بهدف إنشاء اتصال عن بُعد وتنفيذ أوامر PowerShell لتنزيل حمولات إضافية.
وتعتمد الهجمة على إسقاط ملفين من نوع MSC بالاسم نفسه، أحدهما سليم والآخر خبيث، بحيث يؤدي فتح الملف السليم إلى تشغيل نظيره الضار واستغلال الثغرة. يقوم الملف الضار بجلب وتشغيل نصوص PowerShell من خادم خارجي لجمع بيانات النظام، وضمان الاستمرارية، والتواصل مع خادم التحكم والسيطرة C2 لتلقي وتنفيذ أوامر مشفرة وتشغيل برمجية Fickle Stealer.
أدوات وبرمجيات خبيثة متقدمة
إلى جانب Fickle Stealer، استخدمت المجموعة أداة تحميل مكتوبة بلغة Go عُرفت باسم SilentCrystal، استغلت منصة Brave Support التابعة لمتصفح Brave لاستضافة برمجيات ضارة مخفية داخل ملف ZIP يحتوي على ملفات MSC الخبيثة.
كما نشرت المجموعة بابًا خلفيًا مبنيًا بلغة Golang يعمل في وضعي العميل والخادم لإرسال بيانات النظام إلى خادم C2 وإنشاء بنية تحتية عبر بروتوكول SOCKS5.
وأشارت الأدلة أيضًا إلى استمرار الاعتماد على طُعم منصات مؤتمرات الفيديو المزيفة مثل RivaTalk لخداع الضحايا، حيث يؤدي تثبيت ملف MSI إلى إسقاط ملفات متعددة، بينها ملف مشروع Symantec ELAM الشرعي الذي يُستخدم لتحميل مكتبة DLL خبيثة تقوم بتنفيذ أوامر PowerShell إضافية.
تقنيات تمويه متقدمة للحفاظ على السيطرة
تتميز الهجمة بقدرتها على إرسال بيانات النظام إلى الخادم والتحكم الكامل عبر أوامر PowerShell مشفرة، مع عرض رسالة مزيفة تحت مسمى “System Configuration” كغطاء، بالتزامن مع تشغيل مهام في الخلفية لتوليد حركة مرور وهمية على متصفحات الويب بهدف إخفاء الاتصالات الخبيثة وسط الأنشطة العادية.
وأكد الباحثون أن EncryptHub تمثل خصمًا متطورًا ومجهزًا جيدًا، يجمع بين استغلال الثغرات التقنية، والهندسة الاجتماعية، وإساءة استخدام المنصات الموثوقة، بما يجعلها تهديدًا معقدًا يتطلب استراتيجيات دفاع متعددة الطبقات ورفع وعي المستخدمين باستمرار.
