رُصدت مجموعة التهديد السيبراني المعروفة باسم Paper Werewolf (ويُشار إليها أيضًا باسم GOFFEE) وهي تنفذ هجمات سيبرانية موجهة حصريًا ضد كيانات روسية، مستخدمةً زرعاً خبيثاً جديداً يُدعى PowerModul.
ووفقًا لتقرير حديث صادر عن شركة Kaspersky، فإن هذه الأنشطة جرت بين شهري يوليو وديسمبر 2024، واستهدفت منظمات في قطاعات الإعلام، والاتصالات، والإنشاءات، والجهات الحكومية، والطاقة.
ووفقًا لتحليلات BI.ZONE، نفّذت مجموعة Paper Werewolf ما لا يقل عن سبع حملات منذ عام 2022، كانت تتركز بشكل أساسي على كيانات حكومية، ومالية، وطاقة، وإعلام، وقطاعات أخرى.
تكتيكات الهجوم: من التجسس إلى التخريب
لا تكتفي الهجمات التي تشنها هذه المجموعة بالتجسس أو سرقة البيانات، بل تتضمن أيضًا تغيير كلمات مرور حسابات الموظفين، ما يُضفي طابعًا تخريبيًا على الاختراقات.
ويتم بدء هذه الهجمات من خلال رسائل تصيد إلكتروني تحتوي على مستندات خبيثة تحتوي على ماكرو. وبمجرد فتح المستند وتفعيل الماكرو، يتم تحميل حصان طروادة يُعرف باسم PowerRAT، وهو مكتوب بلغة PowerShell.
برمجيات خبيثة متعددة المراحل
بمجرد تفعيل PowerRAT، يقوم بتنزيل حمولة إضافية، غالبًا ما تكون إصدارًا مخصصًا من وكيل إطار العمل Mythic، مثل PowerTaskel وQwakMyAgent. كما تستخدم المجموعة أداة خبيثة تُدعى Owowa، وهي وحدة مضافة إلى خادم IIS تُستخدم لاستخراج بيانات اعتماد Outlook من خلال واجهة الويب.
وفي سلسلة الهجمات الأخيرة، تبدأ العدوى بمرفق أرشيف RAR ضار يحتوي على ملف تنفيذي يتنكر على هيئة مستند PDF أو Word باستخدام امتداد مزدوج (مثل: *.pdf.exe أو *.doc.exe). وعند فتح الملف، يتم عرض ملف طُعم للمستخدم، بينما تستمر الإصابة في الخلفية.
وبحسب Kaspersky، فإن “الملف نفسه عبارة عن ملف نظام Windows (مثل explorer.exe أو xpsrchvw.exe)، مع جزء من شيفرته مُعدَّل ليحتوي على shellcode خبيث“. ويبدأ هذا shellcode على الفور بالتواصل مع خادم القيادة والسيطرة (C2).
زرع PowerModul وتنفيذ التعليمات البرمجية عن بعد
تستخدم المجموعة أيضًا سلسلة بديلة أكثر تعقيدًا تبدأ بمستند Microsoft Office يحتوي على ماكرو يُستخدم كأداة تثبيت لتنزيل وتشغيل PowerModul، وهو سكريبت PowerShell يمكنه استقبال وتنفيذ سكريبتات إضافية من خادم C2.
بدأ استخدام هذا الزرع منذ أوائل 2024، وكان الهدف الأولي منه هو تنزيل وتشغيل PowerTaskel على الأنظمة المصابة. كما أن PowerModul يقوم بإسقاط حمولات خبيثة أخرى، منها:
-
FlashFileGrabber: أداة تُستخدم لسرقة الملفات من وسائط التخزين المحمولة مثل USB، ثم إرسالها إلى خادم C2.
-
FlashFileGrabberOffline: إصدار معدل يبحث عن ملفات بامتدادات محددة في وسائط USB ويقوم بنسخها محليًا في مجلد
-
USB Worm: أداة خبيثة تقوم بإصابة أجهزة USB بنسخة من PowerModul، ما يُساعد على انتشار البرمجية.
قدرات PowerTaskel المتقدمة
تتشابه وظيفة PowerTaskel مع PowerModul، حيث يمكنه أيضًا تنفيذ سكريبتات PowerShell مرسلة من خادم C2، ولكنه يحتوي على ميزات إضافية، منها:
-
إرسال معلومات عن البيئة المستهدفة على شكل رسالة “checkin”
-
تنفيذ أوامر أخرى من خادم C2 على شكل مهام
-
تصعيد الامتيازات باستخدام أداة PsExec
وفي إحدى الحالات، استلم PowerTaskel سكريبتًا يحتوي على مكون FolderFileGrabber، والذي يُضيف إلى وظائف FlashFileGrabber القدرة على جمع ملفات من أنظمة أخرى عبر بروتوكول SMB باستخدام مسار شبكي مُضمَّن مسبقًا.
تطور ملحوظ في أدوات وأساليب Paper Werewolf
قالت Kaspersky إن “المجموعة استخدمت لأول مرة مستندات Word تحتوي على سكريبتات VBA خبيثة كوسيلة إصابة أولية.” وأضافت أن المجموعة بدأت مؤخرًا بالتخلي عن PowerTaskel لصالح استخدام وكيل Mythic الثنائي خلال حركة التنقل الجانبية داخل الشبكات المخترقة.
تهديدات موازية: مجموعة Sapphire Werewolf
في تطور متصل، نسبت BI.ZONE مجموعة تهديد أخرى تُعرف باسم Sapphire Werewolf إلى حملة تصيد تستخدم إصدارًا محدثًا من أداة Amethyst، وهي مشتقة من SapphireStealer مفتوح المصدر.
تقوم هذه الأداة بسرقة بيانات الاعتماد من تطبيق تيليجرام ومتصفحات متعددة، منها Chrome، وOpera، وYandex، وBrave، وOrbitum، وAtom، وKometa، وEdge Chromium، بالإضافة إلى ملفات إعداد FileZilla وSSH. كما يمكنها أيضًا سرقة مستندات مخزنة على وسائط خارجية.
