برمجيات خبيثة تستهدف مسؤولين في العراق عبر انتحال وزارة الخارجية، بحملة معقدة تكشف أدوات جديدة وأساليب تخفٍ متقدمة خلال 2026.
كيف كشفت الحملة عن برمجيات خبيثة جديدة؟
تشير تفاصيل الحملة إلى جهة تهديد يُشتبه بارتباطها بإيران استهدفت مسؤولين حكوميين في العراق عبر رسائل تُقلد وزارة الخارجية. ووفقاً لمتابعة تيكبامين، ظهرت الأنشطة مطلع 2026 مع بنية هجومية تستخدم سلسلتين للعدوى.
تنتهي السلسلتان بتشغيل عائلة أدوات جديدة تُدار عبر خوادم تحكم بعيدة وتستغل بنى حكومية مخترقة لاستضافة الملفات الضارة. هذا التنسيق يوحي بقدرة تشغيلية عالية وموارد مراقبة دقيقة.
- SPLITDROP المُسقِط الأولي
- TWINTASK وحدة العمل
- TWINTALK منسق الأوامر
- GHOSTFORM الأداة الموحدة
ما الذي يميّز البنية التخفيّة؟
تعتمد الحملة على مسارات URI عشوائية مرفقة بقيم تحقق لضمان أن الطلبات صادرة من جهاز مصاب فقط. كما يتم فحص User-Agent وتطبيق تقييد جغرافي، ما يصعّب الرصد المبكر.
- تأخير التنفيذ بفواصل زمنية عشوائية
- استخدام بنية حكومية مخترقة لاستضافة الحمولة
- دمج فحوصات رقمية قبل قبول الاتصال
ما هي سلسلة العدوى الأولى وانتحال الجهات الرسمية؟
تبدأ السلسلة الأولى بأرشيف RAR محمي بكلمة مرور، وبداخله مُسقِط .NET باسم SPLITDROP. هذا المُسقِط يطلق مكونين هما TWINTASK العامل وTWINTALK المنسق لتفعيل سلسلة العدوى.
- فتح الأرشيف وتشغيل SPLITDROP
- إنزال TWINTASK وتفعيله كخدمة عمل
- تشغيل TWINTALK للتحكم البعيد
- تهيئة ملفات الأوامر داخل النظام
كيف يعمل TWINTASK عملياً؟
يُحمّل TWINTASK كـ DLL باسم libvlc.dll عبر البرنامج الشرعي vlc.exe، ثم يفحص الملف C:\ProgramData\PolGuid\in.txt كل 15 ثانية لتنفيذ الأوامر عبر PowerShell. كما يُنشئ بقاءً عبر تعديلات سجل ويندوز.
- تنفيذ الأوامر من ملف in.txt
- تسجيل المخرجات في out.txt
- إضافة مفاتيح Registry للبقاء
- الاستعلام الدوري كل 15 ثانية
ما دور TWINTALK في التحكم والتهريب؟
عند تشغيله أول مرة، يشغّل TWINTALK برنامج WingetUI.exe الشرعي لتمرير تحميل DLL آخر باسم hostfxr.dll. الهدف هو توجيه التحكم والسيطرة نحو خادم الأوامر وكتابة التعليمات في in.txt ثم إعادة النتائج.
- تلقي الأوامر من خادم C2
- رفع وتنزيل الملفات عند الطلب
- تنسيق المهام مع TWINTASK
- حلقة اتصال بتأخير عشوائي
ما الذي يميز GHOSTFORM في السلسلة الثانية؟
السلسلة الثانية تُعد تطوراً بدمج مهام TWINTASK وTWINTALK في ملف واحد يسمى GHOSTFORM. يعتمد التنفيذ على PowerShell في الذاكرة لتقليل الآثار على القرص.
لماذا يُعد التطور خطيراً؟
دمج الوظائف يقلل عدد الملفات ويبسّط التشغيل داخل الشبكة. كما أن التأخير العشوائي في الاتصال يجعل التتبع الزمني أكثر صعوبة.
كيف تحمي المؤسسات نفسها من هذا النوع من الهجمات؟
يوصي خبراء تيكبامين بتشديد ضوابط البريد وتقييد التحميلات المضغوطة، مع مراقبة سلوك البرامج الشرعية المستخدمة في التحميل الجانبي. التركيز على السجلات وسلوك PowerShell يرفع فرص الاكتشاف.
- فحص أرشيفات RAR وكلمات المرور المشبوهة
- حظر تحميل DLL غير موقعة داخل التطبيقات
- مراقبة المسار C:\ProgramData\PolGuid للملفات غير المعتادة
- تقييد الاتصالات الخارجية مجهولة الوجهة
- توعية الموظفين برسائل الانتحال
في النهاية، الوعي المبكر والاستجابة السريعة يقللان أثر برمجيات خبيثة تستهدف القطاعات الحكومية عندما تتكامل المراقبة الشبكية مع تحقق الهوية.
