برمجيات “دارك واتشمان” و”شيريف” الخبيثة تضرب روسيا وأوكرانيا بتكتيكات متخفية ومتطورة

برمجيات "دارك واتشمان" و"شيريف" الخبيثة تضرب روسيا وأوكرانيا بتكتيكات متخفية ومتطورة
برمجيات "دارك واتشمان" و"شيريف" الخبيثة تضرب روسيا وأوكرانيا بتكتيكات متخفية ومتطورة
شارك هذا الخبر

كشفت تقارير أمنية عن حملة تصيد ضخمة تستهدف شركات روسية عبر برمجية “دارك واتشمان” (DarkWatchman) الخبيثة، بينما تعرض قطاع الدفاع الأوكراني لهجوم بواسطة برنامج خلفي جديد يُدعى “شيريف” (Sheriff).

هجمات “دارك واتشمان” تستهدف قطاعات روسية حيوية

أفادت شركة الأمن السيبراني الروسية F6 أن الهجمات ركزت على قطاعات الإعلام، السياحة، التمويل، التأمين، التصنيع، التجزئة، الطاقة، الاتصالات، النقل، والتكنولوجيا الحيوية. وارتبطت الحملة بمجموعة Hive0117 ذات الدوافع المالية، والتي نُسبت إليها هجمات سابقة ضد ليتوانيا وإستونيا وروسيا في قطاعات الاتصالات والإلكترونيات والصناعة.

  • في سبتمبر 2023، استُخدمت البرمجية ضد قطاعات الطاقة، التمويل، النقل، والأمن البرمجي في روسيا وكازاخستان ولاتفيا وإستونيا.

  • في نوفمبر 2023، عادت الهجمات باستخدام طُعم يتعلق بخدمات التوصيل السريع، مستهدفة البنوك، شركات التجزئة، مشغلي الاتصالات، وشركات الطاقة والوقود.

ما هي برمجية “دارك واتشمان”؟

  • تُصنف كـ حصان طروادة (RAT) يعمل عبر JavaScript، قادر على تسجيل ضغطات لوحة المفاتيح، جمع بيانات النظام، وتنفيذ أكواد خبيثة إضافية.

  • تتميز بطبيعتها “بلا ملفات” (Fileless)، مما يصعب اكتشافها، مع قدرة على محو آثارها عند الطلب.

  • تستخدم حملاتها الأخيرة رسائل تصيد تحتوي على أرشيفات ضارة مشفرة بكلمة مرور، مع تحسينات لتجنب الاكتشاف.

أوكرانيا في مرمى برمجية “شيريف” الجديدة

في سياق متصل، كشف IBM X-Force عن هجوم باستخدام برنامج خلفي جديد يُدعى “شيريف” (Sheriff) ضد جهة غير محددة في قطاع الدفاع الأوكراني خلال النصف الأول من 2024.

كيف يعمل “شيريف”؟

  • نُشر عبر موقع أخبار أوكراني شهير (ukr.net)، مما زاد من فرص نجاح الهجوم.

  • يستطيع تنفيذ أوامر عن بعد، التقاط لقطات شاشة، وسرقة البيانات سرًّا عبر واجهة “Dropbox”.

  • يمتلك وظيفة “انتحارية” تسمح للمهاجمين بحذف البرمجية وأدوات التحكم عن بُعد.

تشابهات مع برمجيات تجسسية أخرى:
أشارت IBM إلى تشابه “شيريف” مع أدوات قرصنة مثل:

  • “Kazuar” و”Crutch” (المستخدمة من قبل مجموعة Turla الروسية).

  • “Prikormka” و”CloudWizard” (المستخدمة في هجمات سابقة ضد أوكرانيا).
    من بين أوجه التشابه:

  • استخدام وظيفة “GetSettings” لاستخراج إعدادات الوحدة النمطية.

  • التقاط لقطات الشاشة كل 15 دقيقة.

  • تشابه في آلية سرقة قوائم الملفات.

تصاعد الهجمات السيبرانية في أوكرانيا

أعلنت الخدمة الأوكرانية للاتصالات الخاصة وحماية المعلومات (SSSCIP) عن:

  • ارتفاع الهجمات بنسبة 48% في النصف الثاني من 2024 (2,576 حادثة) مقارنة بالنصف الأول (1,739).

  • بلغ إجمالي الحوادث في 2024 نحو 4,315، مقارنة بـ 1,350 في 2021.

  • انخفاض الحوادث عالية الخطورة إلى 59 فقط، بعد أن كانت 1,048 في 2022.

تحذيرات من تكتيكات روسية متطورة:

  • استخدام الهجمات الآلية وهجمات سلسلة التوريد لاختراق الأنظمة.

  • الجمع بين التجسس والتخريب، مع تركيز على جمع معلومات استخباراتية تؤثر على سير العمليات العسكرية.

  • استهداف أنظمة الوعي الظرفي وشركات الدفاع المتخصصة.

وسوم
محمد طاهر
محمد طاهر
المقالات: 234

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


انتهت فترة التحقق من reCAPTCHA. يُرجى إعادة تحميل الصفحة.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة