أصدر فريق الاستجابة للطوارئ الحاسوبية في أوكرانيا (CERT-UA) تحذيرًا من موجة هجمات سيبرانية تنفذها جهة تهديد تُعرف باسم UAC-0099، تستهدف وكالات حكومية، وقوات الدفاع، ومؤسسات في قطاع الصناعات الدفاعية الأوكرانية.
وتستغل هذه الهجمات رسائل تصيّد إلكتروني كوسيلة أولى للاختراق، بهدف إيصال عائلات من البرمجيات الخبيثة مثل MATCHBOIL وMATCHWOK وDRAGSTARE.
وكانت CERT-UA قد كشفت للمرة الأولى عن هذه المجموعة في يونيو 2023، وأشارت إلى استخدامها ثغرات في برنامج WinRAR (تحديدًا الثغرة CVE-2023-38831 ذات درجة CVSS تبلغ 7.8) لنشر برمجية خبيثة تُدعى LONEPAGE.
رسائل استدعاء قضائي مزيفة وروابط مختصرة
تعتمد السلسلة الأحدث من العدوى على إرسال رسائل بريد إلكتروني مزيفة تبدو وكأنها استدعاءات لحضور جلسات قضائية، يتم فيها تضمين روابط مختصرة عبر خدمات مثل Cuttly، تُرسل من عناوين بريدية على نطاق UKR.NET.
تؤدي هذه الروابط إلى تحميل ملف أرشيف مزدوج يحتوي على ملف HTA (HTML Application)، وهو المسؤول عن تشغيل البرمجيات الخبيثة.
تنفيذ برمجيات C# خبيثة عبر HTA
بمجرد تشغيل ملف HTA، يتم تفعيل ملف VBScript مشفّر، ينشئ مهمة مجدولة للحفاظ على الاستمرارية، ثم يقوم بتشغيل محمل يُعرف باسم MATCHBOIL، وهو برنامج مكتوب بلغة C# مصمم لتنزيل برمجيات خبيثة إضافية على الجهاز المُستهدف.
تشمل هذه البرمجيات:
-
MATCHWOK: باب خلفي مكتوب بلغة C#، قادر على تنفيذ أوامر PowerShell وإرسال نتائجها إلى خادم بعيد.
-
DRAGSTARE: أداة سرقة معلومات تجمع بيانات النظام، وبيانات المتصفحات، وملفات بصيغ معينة مثل .docx، .pdf، .xls، .rdp من مجلدات سطح المكتب، والمستندات، والتنزيلات، إضافة إلى التقاط لقطات شاشة وتنفيذ أوامر PowerShell يُرسلها المهاجم.
تصاعد هجمات Gamaredon وأساليبهم المتقدمة
يأتي هذا الكشف بعد أكثر من شهر على تقرير مفصل أصدرته شركة ESET حول حملات التصيّد الموجهة التي شنّتها مجموعة Gamaredon ضد جهات أوكرانية خلال عام 2024، والتي استخدمت خلالها ست أدوات برمجية خبيثة جديدة طُورت لتحقيق التخفي والاستمرارية والتنقل الجانبي داخل الشبكات المستهدفة.
وتشمل هذه الأدوات:
-
PteroDespair: أداة استكشاف عبر PowerShell لجمع بيانات حول برمجيات خبيثة منشورة مسبقًا
-
PteroTickle: أداة PowerShell تستهدف تطبيقات Python لتحفيز التنقل الجانبي باستخدام تحميلات خبيثة
-
PteroGraphin: أداة للتثبيت الدائم عبر إضافات Excel والمهام المجدولة، وإنشاء قناة اتصال مشفّرة باستخدام Telegraph API
-
PteroStew: أداة تنزيل تعتمد VBScript وتخزن شفراتها داخل تيارات بيانات بديلة مرتبطة بملفات سليمة
-
PteroQuark: أداة تنزيل جديدة بلغة VBScript أُدمجت ضمن النسخة VBScript من أداة PteroLNK
-
PteroBox: أداة PowerShell لسرقة الملفات تُشبه PteroPSDoor لكن تُرسل الملفات المسروقة إلى خدمة Dropbox
تقنيات الإخفاء والاعتماد على خدمات شرعية
تتميز حملات Gamaredon باستخدامها لتقنيات DNS سريعة التبديل (Fast-Flux DNS)، والاعتماد على خدمات شرعية مثل Telegram وTelegraph وCodeberg وأنفاق Cloudflare لإخفاء بنيتها التحتية للتحكم والسيطرة (C2).
وأكدت شركة ESET أن المجموعة لا تزال تمثل تهديدًا بارزًا، رغم بعض القيود التقنية والتخلي عن أدوات قديمة، نظرًا لقدرتها المستمرة على الابتكار، وكثافة حملات التصيّد، والقدرة العالية على تجنب الرصد والكشف.
