برمجيات خبيثة جديدة تستهدف مسؤولين عراقيين

برمجيات خبيثة تستهدف مسؤولين في العراق عبر انتحال وزارة الخارجية، بحملة معقدة تكشف أدوات جديدة وأساليب تخفٍ متقدمة خلال 2026.كيف كشفت الحملة عن برمجيات خبيثة جديدة؟تشير تفاصيل الحملة إلى جهة تهديد يُشتبه بارتباطها بإيران استهدفت مسؤولين حكوميين في العراق عبر رسائل تُقلد وزارة الخارجية. ووفقاً لمتابعة تيكبامين، ظهرت الأنشطة مطلع 2026 مع بنية هجومية تستخدم سلسلتين للعدوى.تنتهي السلسلتان بتشغيل عائلة أدوات جديدة تُدار عبر خوادم تحكم بعيدة وتستغل بنى حكومية مخترقة لاستضافة الملفات الضارة. هذا التنسيق يوحي بقدرة تشغيلية عالية وموارد مراقبة دقيقة.SPLITDROP المُسقِط الأوليTWINTASK وحدة العملTWINTALK منسق الأوامرGHOSTFORM الأداة الموحدةما الذي يميّز البنية التخفيّة؟تعتمد الحملة على مسارات URI عشوائية مرفقة بقيم تحقق لضمان أن الطلبات صادرة من جهاز مصاب فقط. كما يتم فحص User-Agent وتطبيق تقييد جغرافي، ما يصعّب الرصد المبكر.تأخير التنفيذ بفواصل زمنية عشوائيةاستخدام بنية حكومية مخترقة لاستضافة الحمولةدمج فحوصات رقمية قبل قبول الاتصالما هي سلسلة العدوى الأولى وانتحال الجهات الرسمية؟تبدأ السلسلة الأولى بأرشيف RAR محمي بكلمة مرور، وبداخله مُسقِط .NET باسم SPLITDROP. هذا المُسقِط يطلق مكونين هما TWINTASK العامل وTWINTALK المنسق لتفعيل سلسلة العدوى.فتح الأرشيف وتشغيل SPLITDROPإنزال TWINTASK وتفعيله كخدمة عملتشغيل TWINTALK للتحكم البعيدتهيئة ملفات الأوامر داخل النظامكيف يعمل TWINTASK عملياً؟يُحمّل TWINTASK كـ DLL باسم libvlc.dll عبر البرنامج الشرعي vlc.exe، ثم يفحص الملف C:\ProgramData\PolGuid\in.txt كل 15 ثانية لتنفيذ الأوامر عبر PowerShell. كما يُنشئ بقاءً عبر تعديلات سجل ويندوز.تنفيذ الأوامر من ملف in.txtتسجيل المخرجات في out.txtإضافة مفاتيح Registry للبقاءالاستعلام الدوري كل 15 ثانيةما دور TWINTALK في التحكم والتهريب؟عند تشغيله أول مرة، يشغّل TWINTALK برنامج WingetUI.exe الشرعي لتمرير تحميل DLL آخر باسم hostfxr.dll. الهدف هو توجيه التحكم والسيطرة نحو خادم الأوامر وكتابة التعليمات في in.txt ثم إعادة النتائج.تلقي الأوامر من خادم C2رفع وتنزيل الملفات عند الطلبتنسيق المهام مع TWINTASKحلقة اتصال بتأخير عشوائيما الذي يميز GHOSTFORM في السلسلة الثانية؟السلسلة الثانية تُعد تطوراً بدمج مهام TWINTASK وTWINTALK في ملف واحد يسمى GHOSTFORM. يعتمد التنفيذ على PowerShell في الذاكرة لتقليل الآثار على القرص.لماذا يُعد التطور خطيراً؟دمج الوظائف يقلل عدد الملفات ويبسّط التشغيل داخل الشبكة. كما أن التأخير العشوائي في الاتصال يجعل التتبع الزمني أكثر صعوبة.كيف تحمي المؤسسات نفسها من هذا النوع من الهجمات؟يوصي خبراء تيكبامين بتشديد ضوابط البريد وتقييد التحميلات المضغوطة، مع مراقبة سلوك البرامج الشرعية المستخدمة في التحميل الجانبي. التركيز على السجلات وسلوك PowerShell يرفع فرص الاكتشاف.فحص أرشيفات RAR وكلمات المرور المشبوهةحظر تحميل DLL غير موقعة داخل التطبيقاتمراقبة المسار C:\ProgramData\PolGuid للملفات غير المعتادةتقييد الاتصالات الخارجية مجهولة الوجهةتوعية الموظفين برسائل الانتحالفي النهاية، الوعي المبكر والاستجابة السريعة يقللان أثر برمجيات خبيثة تستهدف القطاعات الحكومية عندما تتكامل المراقبة الشبكية مع تحقق الهوية.