رُصدت مجموعة تهديد سيبراني يُشتبه في ارتباطها بالهند وهي تستهدف وزارة خارجية أوروبية باستخدام برمجية خبيثة مصممة خصيصًا لجمع بيانات حساسة من الأجهزة المصابة.
وقد نسب مركز الأبحاث المتقدمة في شركة Trellix هذا النشاط إلى مجموعة APT المعروفة باسم DoNot Team، والتي تُعرف أيضًا بعدة أسماء مثل APT-C-35، Mint Tempest، Origami Elephant، SECTOR02، وViceroy Tiger، ويُعتقد أن نشاطها بدأ منذ عام 2016.
وأوضح الباحثون في Trellix أن “مجموعة DoNot APT معروفة باستخدام برمجيات خبيثة مخصصة لأنظمة ويندوز، تشمل أبوابًا خلفية مثل YTY وGEdit، وغالبًا ما تُوزع عبر رسائل تصيّد موجهة أو مستندات خبيثة”.
هجوم تصيّد باستخدام مستندات مزيفة
تستهدف هذه المجموعة عادة الكيانات الحكومية، وزارات الخارجية، المؤسسات الدفاعية، والمنظمات غير الحكومية، خصوصًا في جنوب آسيا وأوروبا. وتبدأ سلسلة الهجوم برسائل تصيّد إلكترونية تهدف إلى خداع الضحايا للنقر على رابط Google Drive يؤدي إلى تنزيل ملف أرشيف من نوع RAR، ما يمهّد لتنصيب برمجية LoptikMod، التي تُستخدم حصريًا من قِبل هذه المجموعة منذ عام 2018.
وأفادت Trellix أن الرسائل تصل من عنوان Gmail وتنتحل صفة مسؤولين دفاعيين، وتحتوي على سطر عنوان يشير إلى زيارة ملحق دفاعي إيطالي إلى دكا في بنغلاديش. وتم تنسيق البريد الإلكتروني باستخدام ترميز HTML وUTF-8 لعرض الأحرف الخاصة مثل “é” بشكل صحيح، في محاولة لزيادة المصداقية.
قدرات متقدمة للبرمجية الخبيثة LoptikMod
يتضمن الملف المضغوط RAR ملفًا تنفيذيًا خبيثًا يتظاهر بأنه مستند PDF، وبمجرد فتحه يتم تنفيذ برمجية LoptikMod التي تعمل كأداة وصول عن بُعد (RAT). وتقوم البرمجية بترسيخ وجودها على الجهاز من خلال جدولة المهام، وتتصل بخادم بعيد لإرسال معلومات النظام، واستقبال الأوامر، وتنزيل وحدات إضافية، وسحب البيانات الحساسة.
وتعتمد البرمجية على تقنيات مضادة للبيئات الافتراضية (Anti-VM) وتقنيات إخفاء عبر ASCII لتعقيد عملية التحليل، كما تضمن تشغيل نسخة واحدة فقط منها على الجهاز لمنع التضارب.
وقالت Trellix إن خادم القيادة والتحكم (C2) المستخدم في الحملة حاليًا غير نشط، ما يعني أن البنية التحتية قد تكون توقفت مؤقتًا أو تم التخلي عنها أو جرى الانتقال إلى خادم جديد كليًا.
وأدى هذا التعطيل إلى صعوبة تحديد الأوامر التي كانت تُرسل إلى الأجهزة المصابة أو نوع البيانات التي كانت تُسترجع منها.
وأشار الباحثون إلى أن “العمليات التي تنفذها المجموعة تتسم بالمراقبة المستمرة، وسحب البيانات، والحصول على وصول طويل الأمد، ما يدل على دافع تجسسي قوي”. وأضافوا أن هذا الاستهداف لسفارات جنوب آسيوية في أوروبا يعكس توسعًا واضحًا في اهتمامات المجموعة نحو الاتصالات والمعلومات الدبلوماسية الأوروبية.
