تشابه تكتيكي وبُنى تحتية مشتركة بين مجموعتي TA829 وUNK_GreenSec في حملات برمجيات خبيثة نشطة

كشفت أبحاث أمنية سيبرانية حديثة عن وجود تشابه تكتيكي وبنية تحتية مشتركة بين مجموعتين من الجهات التهديدية، إحداهما تقف خلف برمجية التجسس RomCom RAT، والثانية تُعرف باسم UNK_GreenSec والتي توزع أداة تحميل خبيثة تدعى TransferLoader.

شركة الأمن السيبراني Proofpoint تتبع أنشطة TransferLoader إلى UNK_GreenSec، بينما تنسب RomCom RAT إلى المجموعة المعروفة باسم TA829، والتي تحمل أيضًا أسماء أخرى مثل CIGAR وStorm-0978 وVoid Rabisu وUNC2596 وغيرها. وتُعد TA829 مجموعة هجينة مرتبطة بروسيا، تجمع بين أهداف التجسس الإلكتروني والدوافع المالية، وقد استُخدمت في هجمات استغلت ثغرات يوم الصفر في متصفحات Firefox وأنظمة Microsoft Windows لتوزيع برمجية RomCom RAT.

بنية تحتية مشتركة وأساليب استهداف متقاربة

تشير Proofpoint إلى أن اكتشاف UNK_GreenSec جاء ضمن تحقيقات حول TA829، ولاحظت استخدام المجموعتين لأساليب توزيع متطابقة، وصفحات هبوط متشابهة، ومواضيع جذابة في رسائل التصيد الإلكتروني.

أحد العناصر المشتركة بين الحملتين هو استخدام خدمات REM Proxy عبر أجهزة MikroTik مخترقة، يتم استخدامها كنقاط انطلاق لإرسال رسائل تصيد خبيثة. لا يُعرف حتى الآن كيف يتم اختراق هذه الأجهزة، إلا أن الأنماط المتكررة في عناوين البريد الإلكتروني المُرسلة تشير إلى استخدام أداة توليد بريد إلكتروني تلقائي، تسهل إرسال كميات ضخمة من الرسائل عبر نقاط REM Proxy.

تحتوي هذه الرسائل على روابط إما مضمّنة مباشرة أو مرفقة في ملفات PDF، وتقوم بتوجيه الضحية عبر سلسلة تحويلات عبر Rebrandly إلى صفحات مزيفة من Google Drive أو OneDrive، مع فلترة الأجهزة التي تُعتبر غير ذات أهمية للمهاجمين، مثل بيئات الاختبار (sandboxes).

تفرع سلاسل الهجوم

في هذه المرحلة، تنقسم سلسلة الهجوم حسب المجموعة:

• UNK_GreenSec توجّه الضحية إلى تحميل برمجية TransferLoader.

• TA829 توزّع برمجية SlipScreen.

يُستخدم SlipScreen كأداة تحميل أولية تُفكك شيفرات خبيثة وتحمّلها في الذاكرة، لكنها لا تنفذ الهجوم إلا بعد التحقق من وجود 55 مستندًا حديثًا على الجهاز، كطريقة لتفادي الأنظمة غير الفعّالة أو المختبرات الافتراضية.

بعد SlipScreen، تُستخدم برمجية MeltingClaw (أو RustyClaw) لتنزيل برمجيات خلفية مثل ShadyHammock وDustyHammock، وتُستخدم الأخيرة لتنفيذ أوامر استطلاعية وتنزيل حمولات إضافية من شبكة IPFS، ومن ضمنها نسخة محدثة من RomCom RAT تحت اسم SingleCamper أو SnipBot.

TransferLoader: منصة خفية لتوزيع البرمجيات الخبيثة

أما TransferLoader، فقد رُصد في فبراير 2025 خلال هجوم على شركة قانونية أمريكية، ويُستخدم في البداية لخداع الضحايا عبر رسائل تتظاهر بأنها “فرص عمل”، وتحتوي على روابط لسير ذاتية مزعومة، تقود فعليًا إلى تحميل TransferLoader من خلال IPFS Webshare.

تهدف هذه البرمجية إلى العمل تحت الرادار، وتقوم بتحميل أدوات إضافية مثل Metasploit ونسخة محدثة من Morpheus ransomware (الاسم الجديد لبرمجية HellCat).

تكامل في الأساليب وتضارب في الهويات

أشارت Proofpoint إلى أن كلا المجموعتين استخدمتا أداة PLINK من PuTTY لإنشاء أنفاق SSH، واستضافتا أدواتهما عبر خدمات IPFS.

على الرغم من بعض الفروق في أسلوب الإحالة داخل TransferLoader مقارنة بـ TA829 ، فإن التشابه في البنية التحتية والسلوكيات يوحي بوجود صلة قوية بين المجموعتين.

وقدّمت Proofpoint أربعة سيناريوهات محتملة لتفسير هذا التداخل:

1. أن المجموعتين تستخدمان بنية تحتية وموزّعين مشتركين من طرف ثالث.

2. أن TA829 تمتلك وتوزع البنية التحتية، وتقوم بتأجيرها أو منحها لـ UNK_GreenSec.

3. أن UNK_GreenSec هي المزوّد الحقيقي للبنية التحتية، لكنها استخدمتها مؤقتًا لتوزيع TransferLoader بنفسها.

4. أن المجموعتين في الحقيقة كيان واحد، وTransferLoader هو إضافة جديدة إلى ترسانتهما البرمجية.

حالة معقدة من تلاشي الحدود بين الجريمة والتجسس

قالت Proofpoint:

“في المشهد التهديدي الحالي، تزداد نقاط الالتقاء بين أنشطة الجريمة الإلكترونية والتجسس، مما يؤدي إلى تلاشي الفروق بين الجهات الفاعلة الإجرامية وتلك المدعومة من الدول. أصبح من الصعب تحديد الفاعلين بدقة أو تصنيفهم، بسبب تداخل الأساليب والمؤشرات.”

وأضافت الشركة أن هناك “احتمالًا قويًا بوجود علاقة فعلية بين TA829 وUNK_GreenSec، حتى وإن لم تتوفر أدلة قاطعة حتى الآن.”