المصدر -
كشف تقرير أمني أن مجموعة تجسس إلكتروني، غير معروفة على نطاق واسع، تقف خلف حملة سيبرانية جديدة استهدفت أفراداً من الجيش الروسي ومؤسسات عاملة في قطاع الصناعات الدفاعية بروسيا، عبر استخدام رسائل تصيد احتيالي تضمنت دعوات وهمية لحفلات رأس السنة الجديدة.
وبحسب تقرير نشره باحثون بشركة Intezer، ظهرت الحملة إلى العلن في وقت سابق من شهر أكتوبر، بعد رصد ملف خبيث من نوع XLL جرى تحميله على منصة VirusTotal، وذلك عقب أن أظهرت البيانات أن أول عملية رفع للملف جاءت من أوكرانيا، قبل أن يُعاد تحميله لاحقاً من داخل روسيا.
وحمل الملف اسماً يوحي بمحتوى عسكري حساس هو "أهداف العدو المخطط لها enemy’s planned targets"، وصُمم بطريقة تُمكّنه من تنفيذ تعليمات برمجية خبيثة تلقائياً بمجرد فتحه باستخدام برنامج مايكروسوفت إكسيل، دون الحاجة إلى أي تفاعل إضافي من المستخدم، وأوضح الباحثون أن تشغيل الملف يؤدي إلى فتح ثغرة غير معروفة مسبقا أُطلق عليه اسم EchoGather.
ويمنح هذا الباب الخلفي المهاجمين قدرات واسعة، تشمل جمع معلومات تفصيلية عن النظام المصاب، وتنفيذ أوامر عن بُعد، إضافة إلى تحميل الملفات أو سحبها من الجهاز المستهدف. وبعد ذلك، تُنقل البيانات المسروقة إلى خادم (سيرفر) تابع لمنفذي الهجوم، جرى إعداده ليكون بهيئة موقع إلكتروني خاص بخدمات توصيل الطعام، في محاولة لإخفاء النشاط الخبيث وتجنّب اكتشافه.
المجموعة المسؤولة عن الهجوم
وأشار التقرير إلى أن المجموعة المسؤولة عن الهجوم تُعرف باسم Goffee، وهي مجموعة تنشط، وفق تقديرات الباحثين، منذ عام 2022 على الأقل.
وعلى الرغم من هذا النشاط الممتد لعدة سنوات، فإن التقارير الصادرة عن باحثين غربيين بشأن عمليات سيبرانية تستهدف منظمات روسية لا تزال محدودة نسبياً، وهو ما يُعزى إلى ضعف الرؤية التقنية داخل الشبكات الروسية وصعوبة مراقبتها من الخارج.
ولإقناع الضحايا بفتح الملفات الخبيثة، اعتمد القراصنة على رسائل تصيد مكتوبة باللغة الروسية، تضمنت سيناريوهات مصممة بعناية لاستهداف فئات محددة.
ومن بين هذه الرسائل، دعوة مزيفة لحضور حفل موسيقي موجهة إلى ضباط عسكريين كبار، وفق ما ورد في تقرير Intezer الأمني.
غير أن الوثيقة المزيفة كشفت عن مؤشرات واضحة على أنها مولّدة بالذكاء الاصطناعي بشكل غير احترافي، إذ احتوت على أخطاء لغوية لافتة، إضافة إلى محاكاة مشوّهة لشعار روسيا الرسمي، النسر ذي الرأسين، الذي بدا أقرب إلى طائر عام منه إلى الرمز الوطني المعتمد.
وبحسب تقرير نشره باحثون بشركة Intezer، ظهرت الحملة إلى العلن في وقت سابق من شهر أكتوبر، بعد رصد ملف خبيث من نوع XLL جرى تحميله على منصة VirusTotal، وذلك عقب أن أظهرت البيانات أن أول عملية رفع للملف جاءت من أوكرانيا، قبل أن يُعاد تحميله لاحقاً من داخل روسيا.
وحمل الملف اسماً يوحي بمحتوى عسكري حساس هو "أهداف العدو المخطط لها enemy’s planned targets"، وصُمم بطريقة تُمكّنه من تنفيذ تعليمات برمجية خبيثة تلقائياً بمجرد فتحه باستخدام برنامج مايكروسوفت إكسيل، دون الحاجة إلى أي تفاعل إضافي من المستخدم، وأوضح الباحثون أن تشغيل الملف يؤدي إلى فتح ثغرة غير معروفة مسبقا أُطلق عليه اسم EchoGather.
ويمنح هذا الباب الخلفي المهاجمين قدرات واسعة، تشمل جمع معلومات تفصيلية عن النظام المصاب، وتنفيذ أوامر عن بُعد، إضافة إلى تحميل الملفات أو سحبها من الجهاز المستهدف. وبعد ذلك، تُنقل البيانات المسروقة إلى خادم (سيرفر) تابع لمنفذي الهجوم، جرى إعداده ليكون بهيئة موقع إلكتروني خاص بخدمات توصيل الطعام، في محاولة لإخفاء النشاط الخبيث وتجنّب اكتشافه.
المجموعة المسؤولة عن الهجوم
وأشار التقرير إلى أن المجموعة المسؤولة عن الهجوم تُعرف باسم Goffee، وهي مجموعة تنشط، وفق تقديرات الباحثين، منذ عام 2022 على الأقل.
وعلى الرغم من هذا النشاط الممتد لعدة سنوات، فإن التقارير الصادرة عن باحثين غربيين بشأن عمليات سيبرانية تستهدف منظمات روسية لا تزال محدودة نسبياً، وهو ما يُعزى إلى ضعف الرؤية التقنية داخل الشبكات الروسية وصعوبة مراقبتها من الخارج.
ولإقناع الضحايا بفتح الملفات الخبيثة، اعتمد القراصنة على رسائل تصيد مكتوبة باللغة الروسية، تضمنت سيناريوهات مصممة بعناية لاستهداف فئات محددة.
ومن بين هذه الرسائل، دعوة مزيفة لحضور حفل موسيقي موجهة إلى ضباط عسكريين كبار، وفق ما ورد في تقرير Intezer الأمني.
غير أن الوثيقة المزيفة كشفت عن مؤشرات واضحة على أنها مولّدة بالذكاء الاصطناعي بشكل غير احترافي، إذ احتوت على أخطاء لغوية لافتة، إضافة إلى محاكاة مشوّهة لشعار روسيا الرسمي، النسر ذي الرأسين، الذي بدا أقرب إلى طائر عام منه إلى الرمز الوطني المعتمد.
