مجموعة UAC-0226 تنشر برمجية GIFTEDCROOK الخبيثة لسرقة البيانات عبر ملفات Excel ضارة تستهدف أوكرانيا

كشفت فريق الاستجابة لحالات الطوارئ الحاسوبية الأوكراني (CERT-UA) عن موجة جديدة من الهجمات السيبرانية تستهدف مؤسسات أوكرانية باستخدام برمجية خبيثة لسرقة المعلومات.

من تستهدف هذه الحملة؟

ووفقًا لـ CERT-UA، فإن الهجمات تركز على:

• التشكيلات العسكرية

• وكالات إنفاذ القانون

• الهيئات الحكومية المحلية
  خصوصًا تلك الواقعة قرب الحدود الشرقية لأوكرانيا.

كيف يتم تنفيذ الهجوم؟

يعتمد المهاجمون على إرسال رسائل تصيد إلكتروني (Phishing Emails) تحتوي على ملفات Excel مفعّلة بالماكرو (امتداد XLSM). وعند فتحها، يتم:

• تشغيل سكريبت PowerShell مأخوذ من مستودع GitHub باسم “PSSW100AVB” لفتح اتصال عكسي (Reverse Shell)

• تنزيل وتنفيذ برمجية تجسس غير موثقة سابقًا تُدعى GIFTEDCROOK

قالت CERT-UA:

“تحمل أسماء الملفات وموضوعات الرسائل الإلكترونية إشارات إلى مواضيع حساسة مثل إزالة الألغام، والغرامات الإدارية، وتصنيع الطائرات المسيرة، وتعويضات الممتلكات المدمرة.”

تحتوي جداول Excel هذه على شيفرة خبيثة تقوم، بمجرد تفعيل الماكرو، بتحويل الملف إلى برمجية خبيثة تُنفذ دون علم المستخدم.

ما هي GIFTEDCROOK؟

برمجية GIFTEDCROOK مكتوبة بلغة C/C++ وتقوم بسرقة بيانات حساسة من متصفحات الإنترنت مثل:

• Google Chrome

• Microsoft Edge

• Mozilla Firefox

وتتضمن البيانات المسروقة:

• ملفات تعريف الارتباط (Cookies)

• سجل التصفح

• بيانات المصادقة (مثل كلمات المرور المحفوظة)

تقنيات التمويه والاختراق

يتم إرسال الرسائل الإلكترونية من حسابات بريد إلكتروني مخترقة، غالبًا عبر الواجهة السحابية لمزودات البريد، لإضفاء مصداقية زائفة على الرسائل وإقناع الضحايا بفتح الملفات المرفقة.

وقد نسب CERT-UA هذا النشاط إلى مجموعة التهديد UAC-0226، دون الإشارة إلى دولة راعية معينة.

حملة تصيّد أخرى مرتبطة بجهات روسية (UNC5837)

في سياق موازٍ، تم ربط جهة تجسس يُشتبه بارتباطها بروسيا تُعرف باسم UNC5837 بحملة تصيد استهدفت كيانات حكومية وعسكرية أوروبية في أكتوبر 2024.

ذكرت مجموعة استخبارات التهديدات من Google (GTIG):

“استخدمت الحملة ملفات .RDP موقّعة كمرفقات لتأسيس اتصالات ببروتوكول سطح المكتب البعيد (RDP) من أجهزة الضحايا.”

لكن الحملة كانت مميزة لكونها لا تركز على الجلسات التفاعلية فقط، بل استغلت تقنيات مثل:

• إعادة توجيه الموارد (ربط أنظمة ملفات الضحايا بخوادم المهاجمين)

• تطبيقات RDP البعيدة (RemoteApps) لتشغيل تطبيقات يتحكم بها المهاجمون مباشرة على أجهزة الضحايا.

وقد تم توثيق هذه الحملة مسبقًا من قبل:

• CERT-UA

• Amazon Web Services

• Microsoft (أكتوبر 2024)

• Trend Micro (ديسمبر 2024)

يُتابع CERT-UA النشاط تحت الاسم UAC-0215، بينما أرجعت جهات أخرى الهجوم إلى مجموعة APT29 التابعة للدولة الروسية.

أدوات مفتوحة المصدر واستغلال البيانات

تميزت الهجمات أيضًا باستخدام أداة PyRDP مفتوحة المصدر لأتمتة أنشطة ضارة مثل:

• سرقة الملفات

• التقاط محتوى الحافظة (Clipboard)

• استخراج كلمات المرور وبيانات البيئة (Environment Variables)

قالت GTIG:

“يبدو أن الهدف الأساسي لمجموعة UNC5837 هو التجسس وسرقة الملفات.”

حملة تصيّد باستخدام CAPTCHA وهمي وتوسعة متصفح خبيثة

في الأشهر الأخيرة، لوحظت أيضًا حملات تصيّد إلكتروني تستخدم CAPTCHA مزيفة وواجهة Cloudflare Turnstile لنشر أداة Legion Loader (المعروفة أيضًا باسم Satacom)، والتي بدورها تُستخدم لتثبيت توسعة متصفح Chromium ضارة باسم “Save to Google Drive”.

وفقًا لمختبرات التهديد في Netskope:

“تبدأ العدوى عبر تنزيل تلقائي عند بحث الضحية عن مستند معين، ليُعاد توجيهها إلى موقع خبيث يعرض CAPTCHA مزيفة.”

آلية الهجوم:

1. يتم خداع الضحية للنقر على CAPTCHA

2. يعاد توجيهه إلى CAPTCHA ثانية عبر Cloudflare

3. ثم إلى صفحة تعليمات وهمية لتنزيل المستند

4. يتم تثبيت ملف MSI يحتوي على Legion Loader

5. يتم تشغيل سكريبتات PowerShell لتنزيل وتفعيل توسعة المتصفح الضارة

تعمل البرمجية على:

• إيقاف جلسة المتصفح مؤقتًا لتفعيل التوسعة

• تفعيل وضع المطور في المتصفح

• إعادة تشغيل المتصفح
  وذلك لبدء سرقة مجموعة واسعة من المعلومات الحساسة وإرسالها إلى المهاجمين.