كشفت أبحاث جديدة أجرتها شركة كاسبرسكي عن احتمال تعاون مجموعتي التهديد السيبراني “Head Mare” و”Twelve” لتنفيذ هجمات تستهدف كيانات روسية، وذلك من خلال مشاركة خوادم القيادة والتحكم (C2).
ووفقًا لكاسبرسكي:
“اعتمدت Head Mare بشكل كبير على أدوات سبق أن ارتبطت بـ Twelve، كما استخدمت خوادم C2 كانت حصرية للأخيرة قبل هذه الحوادث. هذا يشير إلى تعاون محتمل بين المجموعتين في حملات هجومية مشتركة.”
استغلال الثغرات وهجمات الفدية
تم توثيق نشاط كل من “Head Mare” و”Twelve” سابقًا في سبتمبر 2024، حيث استغلت “Head Mare” ثغرة أمنية في WinRAR (CVE-2023-38831) للوصول الأولي إلى الأنظمة المستهدفة، ما مكنها من نشر برمجيات خبيثة، وأحيانًا تنفيذ هجمات فدية باستخدام LockBit لنظام ويندوز وBabuk لنظام لينكس (ESXi).
أما مجموعة “Twelve”، فقد لوحظ تنفيذها لهجمات تخريبية باستخدام أدوات متاحة علنًا لتشفير بيانات الضحايا وتدمير بنيتهم التحتية باستخدام أدوات مدمرة (wipers) لمنع استعادة البيانات.
أدوات وتقنيات جديدة
كشف التحليل الأخير لكاسبرسكي عن استخدام “Head Mare” لأداتين جديدتين:
-
CobInt: باب خلفي (Backdoor) سبق أن استُخدم في هجمات على شركات روسية من قبل مجموعتي ExCobalt وCrypt Ghouls.
-
PhantomJitter: برنامج خبيث مخصص يتم تثبيته على الخوادم لتنفيذ أوامر عن بُعد.
كما لاحظ الباحثون استخدام “Twelve” لنفس أداة CobInt، مما يشير إلى صلة تكتيكية بين المجموعتين، وربما تحالف أوسع يشمل Crypt Ghouls لاستهداف روسيا.
استغلال نقاط الضعف والهندسة الاجتماعية
استفادت “Head Mare” من عدة طرق للوصول الأولي، من بينها:
-
استغلال ثغرات أمنية في Microsoft Exchange Server، مثل ثغرة ProxyLogon (CVE-2021-26855).
-
هجمات التصيد الاحتيالي عبر رسائل بريد إلكتروني تحتوي على مرفقات خبيثة.
-
استغلال شبكات المقاولين لاختراق أنظمة الضحايا، فيما يُعرف بـ “هجوم العلاقة الموثوقة” (Trusted Relationship Attack).
في إحدى الهجمات، استخدم المهاجمون ثغرة ProxyLogon لتنفيذ أوامر على الخادم المصاب، مما مكّنهم من تنزيل وتشغيل CobInt، مع تطبيق آلية جديدة للحفاظ على التواجد المستمر دون الحاجة إلى جدولة المهام، بل من خلال إنشاء حسابات مستخدمين محلية جديدة ذات صلاحيات عالية على خوادم التشغيل الآلي للأعمال.
إخفاء النشاط ومسح الأدلة
استخدم المهاجمون تقنيات متقدمة لإخفاء آثارهم، منها:
-
تسمية الملفات الخبيثة بأسماء تشبه ملفات النظام الشرعية مثل calc.exe وwinuac.exe.
-
مسح سجلات الأحداث (Event Logs) لإزالة أي دليل على الأنشطة الخبيثة.
-
استخدام أدوات التشفير والأنفاق مثل Gost وCloudflared لإخفاء حركة المرور على الشبكة.
الأدوات المستخدمة في الهجمات
تضمنت الهجمات مجموعة واسعة من الأدوات، من بينها:
-
أدوات استطلاع النظام: quser.exe، tasklist.exe، netstat.exe.
-
استطلاع الشبكة المحلية: fscan، SoftPerfect Network Scanner.
-
جمع بيانات Active Directory: ADRecon.
-
سرقة بيانات الاعتماد: Mimikatz، secretsdump، ProcDump.
-
الحركة الجانبية داخل الشبكة: RDP.
-
التواصل مع الأجهزة البعيدة: mRemoteNG، smbexec، wmiexec، PAExec، PsExec.
-
نقل البيانات المسروقة: Rclone.
الهجوم النهائي: نشر برمجيات الفدية
تنتهي هذه الهجمات عادةً بنشر برمجيات الفدية LockBit 3.0 وBabuk على الأجهزة المصابة، مع ترك مذكرة تطالب الضحايا بالاتصال بالمهاجمين عبر Telegram لاستعادة الملفات.
استهداف أوسع وتطور مستمر
وفقًا لكاسبرسكي، فإن “Head Mare” تعمل على توسيع أساليبها وأدواتها، حيث أصبحت تعتمد على أساليب متعددة للوصول الأولي، بما في ذلك استغلال المقاولين إلى جانب رسائل التصيد الاحتيالي. كما يبدو أنها تتعاون بشكل وثيق مع “Twelve” لاستهداف الشركات الحكومية والخاصة في روسيا.
تهديدات سيبرانية متزايدة
تزامن هذا التطور مع تقارير من BI.ZONE تشير إلى ضلوع مجموعة التهديد الكورية الشمالية ScarCruft (APT37) في حملة تصيد احتيالي استهدفت روسيا في ديسمبر 2024. كما كشفت الشركة عن حملة قرصنة أخرى تُعرف باسم SHROUDED#SLEEP، أدت إلى نشر باب خلفي يدعى VeilShell في هجمات استهدفت كمبوديا ودولًا أخرى في جنوب شرق آسيا.
وفي الشهر الماضي، كشفت BI.ZONE عن استمرار هجمات مجموعة Bloody Wolf، التي استخدمت NetSupport RAT لاختراق أكثر من 400 نظام في كازاخستان وروسيا، في تحول عن استخدام البرمجية الخبيثة السابقة STRRAT.
خاتمة
تعكس هذه التطورات تصاعد التهديدات السيبرانية الموجهة ضد روسيا، حيث تتعاون مجموعات قرصنة متطورة لتوسيع نطاق هجماتها. ومن المتوقع أن يستمر هذا النمط من الهجمات مع تطور أساليب المهاجمين وتكتيكاتهم، مما يفرض تحديات أمنية متزايدة على المؤسسات الحكومية والخاصة.
