تم ربط الجهة التهديدية المعروفة باسم “Sticky Werewolf” بشن هجمات مستهدفة بشكل أساسي في روسيا وبيلاروسيا، بهدف نشر برمجية “Lumma Stealer” الخبيثة باستخدام زراعة غير موثقة سابقًا.
مجموعة “Angry Likho” والارتباط بـ “Awaken Likho”
تتابع شركة الأمن السيبراني Kaspersky أنشطة المجموعة تحت اسم “Angry Likho”، والتي قالت إنها تشبه بشدة مجموعة “Awaken Likho” (المعروفة أيضًا باسم Core Werewolf، GamaCopy، وPseudoGamaredon).
لكن هناك اختلافات واضحة، حيث أن هجمات “Angry Likho” أكثر استهدافًا، مع بنية تحتية أصغر، وعدد محدود من أدوات الزرع الخبيثة، وتركيز على الموظفين في المنظمات الكبرى، بما في ذلك الوكالات الحكومية والمتعاقدين معها.
الهجمات موجهة لمتحدثي الروسية
تشير الأدلة إلى أن المهاجمين يتحدثون الروسية بطلاقة، حيث يتم استخدام ملفات طُعم باللغة الروسية للإيقاع بالضحايا. كما وصفت شركة الأمن السيبراني F6 (المعروفة سابقًا باسم F.A.C.C.T.) المجموعة في يناير الماضي بأنها “مجموعة تجسس إلكتروني موالية لأوكرانيا“.
وقد استهدفت الهجمات منظمات في روسيا وبيلاروسيا بشكل أساسي، مع تحديد مئات الضحايا في روسيا وحدها.
أسلوب الهجوم وآلية الاختراق
تعتمد الهجمات على رسائل تصيد احتيالي مستهدفة تحتوي على مرفقات خبيثة، مثل ملفات أرشيفية تضم ملفين من نوع (LNK) إلى جانب مستند طُعم مشروع.
عند فتح الأرشيف، يتم تشغيل سلسلة هجمات متعددة المراحل تؤدي في النهاية إلى نشر برمجية “Lumma Stealer”.
وفقًا لـ Kaspersky، فإن هذه الزراعة تم تطويرها باستخدام أداة التثبيت مفتوحة المصدر “Nullsoft Scriptable Install System”، وتعمل كأرشيف يستخرج نفسه ذاتيًا (SFX).
ولمكافحة أنظمة الحماية، تتضمن الهجمات أساليب مراوغة متقدمة، مثل التحقق من بيئات المحاكاة والصناديق الرملية (sandboxed environments)، مما يؤدي إلى إيقاف البرمجية أو تأخير تشغيلها لمدة 10,000 مللي ثانية – وهي تقنية تم رصدها أيضًا في هجمات Awaken Likho.
سرقة البيانات الحساسة وأهداف الهجوم
تم تصميم برمجية Lumma Stealer لجمع معلومات النظام والبرمجيات المثبتة، إلى جانب بيانات حساسة مثل:
✅ ملفات تعريف الارتباط (Cookies)
✅ أسماء المستخدمين وكلمات المرور
✅ بيانات بطاقات الدفع
✅ سجلات الاتصال
كما تستهدف المعلومات المخزنة في متصفحات الويب، محافظ العملات الرقمية، ملحقات متصفحات الكريبتو (MetaMask)، تطبيقات المصادقة، وبرامج مثل AnyDesk و KeePass.
استخدام أدوات من الإنترنت المظلم بدلاً من تطوير أدوات مخصصة
أشارت Kaspersky إلى أن المجموعة لا تطور برمجياتها الخبيثة بنفسها، بل تعتمد على أدوات متاحة في المنتديات المظلمة، مع التركيز على تطوير آليات توصيل البرمجيات الضارة وصياغة رسائل التصيد الاحتيالي المستهدفة.
🚨 تحذير أمني:
إذا كنت تعمل في منظمة حكومية أو شركة كبرى في روسيا أو بيلاروسيا، فمن الضروري التحقق من رسائل البريد الإلكتروني بعناية، وتجنب تنزيل أي مرفقات مشبوهة، مع تحديث أنظمة الحماية بانتظام لمواجهة التهديدات المتطورة.
