رصد مركز 360 Threat Intelligence استمرار نشاط مجموعة التهديد السيبراني المعروفة باسم UAC-0184، والتي تُعرف أيضاً بـ Hive0156، في تنفيذ حملات تجسس إلكتروني عالية الكثافة ضد مؤسسات عسكرية وحكومية أوكرانية خلال عام 2025. المجموعة التي وثقتها CERT-UA لأول مرة في يناير 2024، اشتهرت باستخدام رسائل تصيّد ذات طابع حربي عبر البريد الإلكتروني لنشر أداة Hijack Loader، التي تعمل لاحقاً كمسار لتثبيت برمجية التحكم عن بُعد Remcos RAT. الجديد في تكتيكاتها هو استغلال تطبيقات المراسلة مثل Signal وTelegram، وصولاً إلى Viber كقناة لنشر البرمجيات الخبيثة.
سلسلة الهجوم عبر Viber
الهجوم الأخير يبدأ بتوزيع أرشيفات مضغوطة (ZIP) عبر تطبيق فايبر، تحتوي على ملفات اختصار LNK متنكرة في هيئة مستندات رسمية من مايكروسوفت وورد أو إكسل. هذه الملفات تخدع الضحية بفتح مستند وهمي، بينما تنفذ في الخلفية أوامر خفية لتحميل أرشيف ثانٍ باسم smoothieks.zip من خادم بعيد باستخدام سكربت PowerShell. العملية متعددة المراحل تعيد بناء Hijack Loader في الذاكرة، مستخدمة تقنيات مثل DLL Side-Loading وModule Stomping لتجاوز أنظمة الكشف الأمني. بعدها يقوم اللودر بفحص البيئة لرصد برامج الحماية المثبتة مثل Kaspersky وAvast وBitDefender وAVG وEmsisoft وWebroot وMicrosoft، عبر حساب قيمة CRC32 لكل برنامج.
قدرات خفية لبرمجية Remcos RAT
بعد تثبيت الاستمرارية عبر المهام المجدولة، يتجاوز اللودر آليات الكشف التقليدية ليحقن برمجية Remcos RAT داخل ملف النظام chime.exe. هذه الأداة، رغم تسويقها كبرنامج شرعي لإدارة الأنظمة، تمنح المهاجمين قدرات واسعة تشمل:
- التحكم الكامل في الجهاز المصاب.
- تنفيذ حمولة إضافية.
- مراقبة الأنشطة.
- سرقة البيانات.
ويشير التقرير إلى أن واجهة التحكم الرسومية (GUI) الخاصة بـ Remcos تتيح للمهاجمين إدارة الأجهزة المصابة بشكل جماعي أو عبر عمليات دقيقة فردية، ما يجعلها أداة مثالية للتجسس الإلكتروني وسرقة المعلومات.
دلالات أمنية
هذا التطور يعكس انتقال الهجمات من البريد الإلكتروني التقليدي إلى تطبيقات المراسلة الشائعة، ما يزيد من صعوبة رصدها ويضاعف خطورتها على المؤسسات المستهدفة. كما يبرز كيف يتم استغلال أدوات تبدو شرعية مثل Remcos في عمليات تجسس واسعة النطاق، مما يفرض على المؤسسات تعزيز قدرات الكشف السلوكي والتصدي للهجمات متعددة المراحل.
