مجموعة Gamaredon الروسية تستهدف بعثة عسكرية غربية في أوكرانيا باستخدام أقراص قابلة للإزالة مصابة

مجموعة Gamaredon الروسية تستهدف بعثة عسكرية غربية في أوكرانيا باستخدام أقراص قابلة للإزالة مصابة
مجموعة Gamaredon الروسية تستهدف بعثة عسكرية غربية في أوكرانيا باستخدام أقراص قابلة للإزالة مصابة
شارك هذا الخبر

كشفت شركة Symantec للأمن السيبراني أن مجموعة التهديد الروسية المعروفة باسم Gamaredon (وتُعرف أيضًا باسم Shuckworm) نفذت هجومًا إلكترونيًا ضد بعثة عسكرية تابعة لدولة غربية في أوكرانيا، مستخدمة إصدارًا محدثًا من البرمجية الخبيثة المعروفة باسم GammaSteel.

 نقطة البداية: وسائط التخزين القابلة للإزالة

أوضحت وحدة Threat Hunter التابعة لشركة Symantec أن النشاط الخبيث بدأ في 26 فبراير 2025، حيث يبدو أن العدوى بدأت من خلال وحدة تخزين خارجية مصابة (USB).

“المهاجمون استخدموا وحدة تخزين قابلة للإزالة كنقطة دخول أولية للعدوى”، بحسب تقرير Symantec الذي شاركته مع The Hacker News.

 سلسلة العدوى: مراحل متعددة للهجوم

بدأ الهجوم بإنشاء مفتاح جديد في سجل النظام (Registry) ضمن قسم UserAssist، تبعه تشغيل الملف التنفيذي mshta.exe عبر explorer.exe، لتفعيل سلسلة عدوى متعددة المراحل وتنفيذ ملفين خبيثين:

 الملف الأول:

  • يستخدم لإنشاء اتصال بخادم قيادة وتحكم (C2)

  • يعتمد على خدمات شرعية مثل Telegram، Teletype، وTelegraph لإخفاء مصدر الاتصال

 الملف الثاني:

  • مصمم لنشر العدوى إلى محركات الأقراص الخارجية ومحركات الشبكة

  • يقوم بإنشاء اختصارات مزيفة لكل مجلد تعمل على تنفيذ الأمر الخبيث باستخدام mshta.exe، مع إخفاء نشاطه

تطور الهجوم في 1 مارس 2025

في 1 مارس، تم تشغيل سكربت جديد يتواصل مع خادم C2، يقوم بـ:

  • جمع بيانات النظام

  • استلام حمولة مشفرة بصيغة Base64

  • تنفيذ أمر PowerShell لتحميل نسخة جديدة مموهة من السكربت

هذه النسخة الجديدة تتصل بخادم C2 مضمّن للحصول على سكربتين إضافيتين بلغة PowerShell:

 السكربت الأول: أداة استطلاع Recon

  • التقاط لقطات شاشة (Screenshots)

  • تنفيذ الأمر

  • تحديد البرامج الأمنية النشطة

  • استعراض الملفات والمجلدات على سطح المكتب

  • جرد العمليات الجارية في النظام

 السكربت الثاني: نسخة محدثة من GammaSteel

  • أداة لسرقة البيانات

  • تقوم بجمع ملفات من مجلدات سطح المكتب والمستندات

  • تعتمد على قائمة امتدادات محددة مسبقًا

 تحليل الخبراء: تطور واضح في تكتيكات Shuckworm

قالت Symantec:

“هذا الهجوم يمثل زيادة ملحوظة في تعقيد عمليات Shuckworm، التي لطالما كانت تُعتبر أقل مهارة مقارنة بمجموعات تهديد روسية أخرى، إلا أنها تعوّض عن هذا القصور من خلال التركيز المستمر على أهداف داخل أوكرانيا.”

وأضاف التقرير:

“رغم محدودية القدرات التقنية، تعمل المجموعة على تحسين أدواتها تدريجيًا عبر تعديلات بسيطة، التمويه البرمجي (Obfuscation)، واستخدام خدمات ويب شرعية لتفادي الاكتشاف.”

وسوم
محمد طاهر
محمد طاهر
المقالات: 178

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة