كشفت شركة Check Point للأمن السيبراني عن حملة تجسس إلكتروني متقدمة تنفذها مجموعة APT29 المدعومة من الحكومة الروسية، تستهدف بعثات دبلوماسية في أوروبا باستخدام أدوات ضارة جديدة من بينها GRAPELOADER، وهي أداة تحميل برمجيات خبيثة لم تُرصد من قبل، بالإضافة إلى نسخة مطورة من البرمجية المعروفة WINELOADER.
تفاصيل الهجوم السيبراني: خدع التذوق والنبيذ لإغراء الضحايا
بدأت الحملة بإرسال دعوات بريد إلكتروني وهمية لحضور فعاليات تذوق النبيذ، منتحلةً صفة وزارة خارجية أوروبية، ومرفقة بملف مضغوط يحتوي على برمجيات خبيثة. هذه الرسائل أُرسلت من نطاقات مزيفة.
الملف المضغوط يحتوي على ثلاث ملفات:
-
ملف DLL ضار باسم AppvIsvSubsystems64.dll.
-
ملف PowerPoint .
-
ملف DLL خبيث باسم ppcore.dll.
عند تشغيل wine.exe، يتم استغلاله لتحميل الملف الضار بطريقة تُعرف بـ”تحميل DLL الجانبي”، ليتم بذلك تفعيل GRAPELOADER.
ما هي GRAPELOADER؟ أداة خفية للتثبيت والتجسس
تمتاز برمجية GRAPELOADER بقدرتها على تثبيت نفسها عبر تعديل سجل النظام (Windows Registry) لتعمل تلقائياً مع كل إعادة تشغيل للنظام، كما تتضمن تقنيات متقدمة لتجنب التحليل والكشف، مثل تشفير السلاسل النصية وتحليل واجهات برمجة التطبيقات (APIs) أثناء التشغيل.
تقوم هذه الأداة بجمع معلومات أساسية عن الجهاز المصاب، مثل اسم المستخدم والعنوان الخارجي (IP)، وترسلها إلى خادم خارجي لتحميل المرحلة التالية من الهجوم، والتي يُعتقد أنها نسخة جديدة من WINELOADER.
خلفيات APT29: ذراع استخباراتي روسي في الفضاء السيبراني
تُعرف APT29، أو “Cozy Bear”، بأنها تابعة لجهاز الاستخبارات الخارجية الروسي (SVR)، ولها سجل طويل في استهداف مؤسسات دبلوماسية ومنظمات دولية. وقد نُسبت إليها سابقاً هجمات ضد وزارات خارجية أوروبية وهجمات ضمن حملة SolarWinds الشهيرة.
تقاطع مع أدوات أخرى روسية: PteroLNK وGammaSteel
في الوقت نفسه، كشفت شركة HarfangLab عن نشاط مجموعة Gamaredon الروسية، التي استخدمت برمجية PteroLNK لإصابة وسائط USB ببرمجيات ضارة على هيئة ملفات VBScript أو PowerShell. تستخدم هذه البرمجيات تقنيات معقدة لإخفاء ملفات أصلية واستبدالها باختصارات (.lnk) خبيثة تُطلق برمجيات ضارة.
وقد وثقت Broadcom مؤخرًا استخدام أدوات مثل NTUSER.DAT.TMContainer… كوسيلة لنشر نسخة محدثة من أداة سرقة البيانات GammaSteel، ما يؤكد التصعيد المستمر في الهجمات السيبرانية الروسية على عدة جبهات.
