كشفت تقارير أمنية عن حملة تصيّد إلكتروني موجّهة استهدفت مؤسسات في قطاع تكنولوجيا المعلومات داخل روسيا، وامتدت جزئيًا لتشمل شركات في دول أخرى مثل الصين واليابان وماليزيا وبيرو، حيث استخدم القراصنة أسلوبًا معقّدًا لإيصال أدوات Cobalt Strike، وهي مجموعة أدوات معروفة تُستخدم في مراحل ما بعد الاختراق، لتثبيت وجودهم داخل الأنظمة المخترقة.
استخدام حسابات مزيفة على GitHub وQuora وشبكات روسية
وبحسب التحليلات الفنية، لجأ المهاجمون إلى إنشاء حسابات وهمية على منصات التواصل الاجتماعي، مثل GitHub وQuora، إضافة إلى شبكات اجتماعية روسية، لتعمل هذه الحسابات كـقنوات غير مباشرة (dead drop resolvers)، يتم من خلالها توصيل روابط حقيقية تستضيف حمولة Cobalt Strike النهائية، دون أن يظهر الرابط مباشرة في البريد الإلكتروني الأولي.
هذا الأسلوب يعزز من قدرة الحملة على التخفّي ويزيد من مرونتها العملياتية، إذ تسمح الحسابات الزائفة للمهاجمين بتغيير موقع الاستضافة أو المحتوى بسهولة دون الحاجة إلى إعادة إرسال رسائل تصيّد جديدة، مما يصعّب على فرق الأمن تتبع سلسلة العدوى أو قطعها.
الحملة بلغت ذروتها في أواخر 2024
أفادت التقارير أن هذه الأنشطة تم توثيقها لأول مرة خلال النصف الثاني من عام 2024، وشهدت ذروتها في شهري نوفمبر وديسمبر، ما يشير إلى تنسيق دقيق وتخطيط طويل المدى من قبل الجهات المنفذة، على الرغم من أنه لم تُنسب الحملة حتى الآن إلى أي جهة تهديد معروفة أو مجموعة قرصنة محددة.
استغلال تقنيات التصيّد المتقدّمة لتجاوز الدفاعات
اعتمد المهاجمون على أسلوب التصيّد الموجّه (spear-phishing)، عبر إرسال رسائل بريد إلكتروني معدّة خصيصًا لأهداف محددة داخل شركات التكنولوجيا، ما يشير إلى جمع معلومات استباقي حول الضحايا. وتضمنت الرسائل ملفات مرفقة أو روابط خبيثة تُحمّل برمجيات وسيطة تتصل بالحسابات الزائفة للحصول على العنوان النهائي لتحميل أداة Cobalt Strike Beacon، التي تُستخدم عادة في حملات التجسس والهجمات المتقدمة المستمرة (APT).
ويُذكر أن أداة Cobalt Strike، رغم كونها أداة مشروعة تُستخدم في اختبارات الاختراق، أصبحت هدفًا مفضلاً للجهات التخريبية بسبب إمكاناتها القوية في التحكم عن بعد، وزرع الأبواب الخلفية، والتحكم في الأجهزة المصابة، مما يجعلها من أخطر الأدوات في أيدي المهاجمين.
