المصرية للاتصالات Cairo ICT 2024
المصرية للاتصالات Cairo ICT 2024
إعلان إي فينانس

رسائل تصيد مزيفة وثغرات جديدة.. هجوم أوكراني إلكتروني على مؤسسات روسية

تكنولوجيا
بواسطة تكنولدج

كشف تقرير أمني حديث عن قيام مجموعة تجسس إلكتروني، تعرف باسم Goffee، بشن حملة سيبرانية تستهدف أفراد الجيش الروسي وعددًا من المؤسسات العاملة في قطاع الصناعات الدفاعية، باستخدام رسائل تصيد مزيفة تتضمن دعوات وهمية لحفلات رأس السنة.

ووفق تقرير نشرته شركة Intezer، ظهر النشاط السيبراني لأول مرة في أكتوبر الماضي، بعد اكتشاف ملف خبيث من نوع XLL على منصة VirusTotal.

وأظهرت البيانات أن أول عملية رفع للملف جاءت من أوكرانيا، قبل أن يُعاد تحميله لاحقًا من داخل روسيا.

وحمل الملف اسمًا يوحي بمحتوى عسكري حساس هو “أهداف العدو المخطط لها enemy’s planned targets”، وصُمم ليتمكن من تنفيذ تعليمات برمجية خبيثة تلقائيًا عند فتحه باستخدام برنامج مايكروسوفت إكسيل، دون الحاجة لأي تفاعل إضافي من المستخدم.

وأشار الباحثون إلى أن الملف يستغل ثغرة جديدة أُطلق عليها اسم EchoGather، تعمل كباب خلفي يمنح المهاجمين قدرة واسعة على جمع معلومات تفصيلية عن النظام المصاب، وتنفيذ أوامر عن بُعد، وتحميل الملفات أو سحبها من الأجهزة المستهدفة.

وتُنقل البيانات المسروقة لاحقًا إلى خادم تم إعداده على شكل موقع إلكتروني خاص بخدمات توصيل الطعام، في محاولة لإخفاء النشاط ومنع اكتشافه.

واعتمد فريق Goffee على رسائل تصيد مكتوبة باللغة الروسية لإقناع الضحايا بفتح الملفات، تضمنت سيناريوهات موجهة لفئات محددة، منها دعوة مزيفة لحضور حفلات موسيقية للضباط العسكريين الكبار.

ورغم محاولات التمويه، أظهرت الوثائق مؤشرات على توليدها باستخدام الذكاء الاصطناعي بشكل غير احترافي، مثل أخطاء لغوية واضحة وشعار مشوّه للنسر الروسي ذو الرأسين.

كما لجأت المجموعة إلى انتحال صفة مسؤولين رسميين، مثل نائب وزير الصناعة والتجارة، حيث طلبت الرسائل من الشركات تقديم مستندات لتبرير الأسعار المتعلقة بالعقود الدفاعية، مستهدفة شركات كبيرة في مجال الصناعات الدفاعية والتكنولوجيا المتقدمة.

وتُشير التقارير إلى أن مجموعة Goffee تنشط منذ عام 2022 على الأقل، ويعتقد أن لها توجهًا مؤيدًا لأوكرانيا، رغم عدم وجود تأكيد رسمي عن أصلها أو الجهة الداعمة لها.

وقد استخدمت المجموعة تقنيات متطورة في هجماتها السابقة، مثل سرقة ملفات من وحدات USB عند توصيلها بأجهزة روسية مخترقة، واستغلال ثغرات صفرية في برامج مثل WinRAR.

ورغم أن الهدف الأساسي للمجموعة يتركز في جمع المعلومات الاستخباراتية، إلا أن بعض الهجمات السابقة أدت إلى تعطيل عمليات داخل الشبكات المستهدفة، مما يشير إلى أن نشاطها قد يمتد إلى إرباك العمليات التشغيلية للجهات الروسية المستهدفة.

وتعكس هذه الحملة محاولة متقدمة لتطوير أساليب جديدة للتهرب من أنظمة المراقبة والحماية، مع وجود ثغرات واضحة في التنفيذ اللغوي والتقني، ما يدل على أن أدوات المجموعة وتقنياتها لا تزال قيد التطوير.

تكنولدج
اترك تعليقا