كشف فريق الاستجابة للطوارئ الحاسوبية في أوكرانيا (CERT-UA) عن تفاصيل حملة خبيثة جديدة استهدفت مؤسسات حكومية ومنشآت صحية بلدية، خصوصاً العيادات والمستشفيات الطارئة، خلال شهري مارس وأبريل 2026. الحملة، التي نُسبت إلى مجموعة تهديد تحمل الرمز UAC-0247، تهدف إلى سرقة بيانات حساسة من متصفحات Chromium ومن تطبيق WhatsApp.
بداية الهجوم عبر رسائل بريدية مزيفة
تبدأ سلسلة الهجوم برسائل بريد إلكتروني تدّعي أنها عروض مساعدات إنسانية، وتحث المستلمين على النقر فوق رابط يقود إما إلى موقع شرعي تم اختراقه عبر ثغرة XSS أو إلى موقع وهمي تم إنشاؤه باستخدام أدوات الذكاء الاصطناعي. الهدف النهائي هو تنزيل ملف اختصار Windows LNK يقوم بتنفيذ تطبيق HTML عن بُعد (HTA) باستخدام أداة النظام mshta.exe. الملف يعرض نموذجاً وهمياً لإلهاء الضحية بينما يجلب حمولة خبيثة تُحقن في عمليات شرعية مثل runtimeBroker.exe.
أدوات تحميل متعددة المراحل
أشارت CERT-UA إلى أن بعض الحملات تضمنت محمل ثنائي المراحل، حيث يُستخدم تنسيق تنفيذي خاص لدعم أقسام البيانات والرموز واستدعاء مكتبات ديناميكية، مع ضغط وتشفير الحمولة النهائية. من بين الأدوات المستخدمة أداة RAVENSHELL التي تنشئ اتصال TCP عكسي مع خادم إدارة لتلقي أوامر تُنفذ عبر cmd.exe.
كما يتم تنزيل برمجية خبيثة تُعرف باسم AGINGFLY مكتوبة بلغة C#، إضافة إلى سكربت PowerShell يُسمى SILENTLOOP، قادر على تنفيذ أوامر، تحديث الإعدادات تلقائياً، والحصول على عنوان IP لخادم التحكم والسيطرة (C2) عبر قناة على تطبيق Telegram.
قدرات السيطرة والسرقة
برمجية AGINGFLY تمنح المهاجمين تحكماً كاملاً بالنظام المصاب، عبر أوامر تُرسل باستخدام WebSockets، بما في ذلك تشغيل keylogger، تنزيل ملفات، وتنفيذ حمولة إضافية. التحقيقات أظهرت أن هذه الهجمات تسهل الاستطلاع، الحركة الجانبية داخل الشبكات، وسرقة بيانات الاعتماد من WhatsApp ومتصفحات Chromium.
من بين الأدوات المفتوحة المصدر التي استُخدمت:
- ChromElevator لتجاوز حماية التشفير في Chromium وسرقة كلمات المرور والكوكيز.
- ZAPiXDESK لاستخراج قواعد بيانات WhatsApp Web.
- RustScan لفحص الشبكات.
- Ligolo-Ng وChisel لإنشاء أنفاق اتصال TCP/UDP.
- XMRig لتعدين العملات الرقمية.
استهداف إضافي لقوات الدفاع الأوكرانية
أشارت CERT-UA إلى وجود أدلة على أن ممثلين من قوات الدفاع الأوكرانية قد يكونوا ضمن المستهدفين، عبر توزيع أرشيفات ZIP خبيثة على تطبيق Signal، تحتوي على برمجية AGINGFLY باستخدام تقنية DLL side-loading.
توصيات للتخفيف من المخاطر
لتقليل المخاطر، أوصت CERT-UA بتقييد تشغيل ملفات LNK وHTA وJS، إضافة إلى تعطيل أو مراقبة استخدام أدوات النظام الشرعية مثل mshta.exe وpowershell.exe وwscript.exe، كونها تُستغل بشكل متكرر في سلاسل الهجوم.
