غاماريدون توسع هجمات أوكرانيا ببرمجيات وخدمات سحابية

غاماريدون صعّدت هجمات أوكرانيا خلال 2025 عبر برمجيات خبيثة جديدة واستغلال خدمات سحابية لإخفاء البنية الخلفية واستهداف جهات حكومية وعسكرية.

ما الذي تغيّر في هجمات غاماريدون على أوكرانيا؟

تكشف المعطيات الجديدة أن مجموعة غاماريدون واصلت نشاطها بشكل مكثف طوال 2025، مع تركيز شبه كامل على أوكرانيا. وتركزت الأهداف الأساسية على المؤسسات الحكومية والجهات العسكرية، في إطار سعي واضح لسرقة معلومات حساسة وبيانات حرجة.

وبحسب ما رصدته تيكبامين، نفذت المجموعة 35 حملة تصيد موجّه منفصلة، وكان معظمها خلال النصف الثاني من العام. هذا التصاعد يشير إلى تطور في وتيرة العمل، وليس فقط في الأدوات المستخدمة.

كيف تبدأ سلسلة الاختراق في هجمات غاماريدون؟

تعتمد الهجمات على رسائل تصيد موجهة تحمل مرفقات أرشيفية أو ملفات XHTML. وتُستخدم تقنية HTML smuggling لتمرير أدوات تنزيل خبيثة من نوع HTA، قبل إسقاط حمولات إضافية داخل الجهاز المصاب.

أبرز أساليب العدوى المستخدمة

• مرفقات أرشيفية أو ملفات XHTML خادعة.
• تنزيل ملفات HTA ضارة عبر HTML smuggling.
• إسقاط برمجيات إضافية مثل PteroSand.
• استغلال ثغرة WinRAR المعروفة باسم CVE-2025-8088 بعد توفر تصحيح لها.

وفي بعض السيناريوهات، استُخدمت ثغرة WinRAR لوضع أداة التنزيل الخبيثة داخل مجلد بدء التشغيل في ويندوز. بهذه الطريقة، يتم تشغيل الملف تلقائيا عند تسجيل الدخول التالي، ما يمنح المهاجمين وسيلة فعالة للاستمرارية داخل النظام.

ما هي البرمجيات الخبيثة الجديدة التي استخدمتها المجموعة؟

لم تكتف المجموعة بالأدوات القديمة، بل وسعت ترسانتها بإضافة ست أدوات PowerShell خبيثة جديدة. هذا التوسع يعكس انتقالا من حملات تقليدية إلى عمليات أكثر مرونة وسرعة في النشر والتعديل.

أدوات برزت في الهجمات الأخيرة

• PteroSand كحمولة إضافية بعد الاختراق الأولي.
• PteroLNK لنشر ملفات LNK خبيثة على وسائط التخزين.
• PteroPaste لدعم الحركة الجانبية داخل الشبكات.
• PteroSetup كأداة أقدم عادت للظهور خلال 2025.

وتستهدف أدوات مثل PteroLNK وPteroPaste وحدات USB والأقراص الشبكية، إذ تُزرع ملفات اختصار خبيثة تبدو عادية للمستخدم. وعند فتحها، تبدأ مرحلة جديدة من تنزيل البرمجيات الضارة وتوسيع نطاق الإصابة داخل البيئة المستهدفة.

لماذا تلجأ غاماريدون إلى الخدمات السحابية؟

أحد أبرز التحولات في 2025 كان الاعتماد المتزايد على خدمات الطرف الثالث، خاصة خدمات الأنفاق الرقمية ومنصات serverless workers. هذا الأسلوب يساعد المجموعة على إخفاء خوادمها الحقيقية وتقليل فرص تتبع البنية التشغيلية الخلفية.

كما عادت أداة PteroSetup للواجهة رغم الاعتقاد سابقا بأنها توقفت. وتقوم هذه الأداة بالبحث في أقراص USB ومحركات الشبكة عن ملفات تثبيت شرعية، ثم تستبدلها بحزم 7z ذاتية الاستخراج تضم الملف الأصلي إلى جانب سكربت VBScript خبيث.

ماذا تعني هجمات غاماريدون لأمن المؤسسات؟

تعكس هجمات غاماريدون الأخيرة تطورا لافتا في المزج بين التصيد والبرمجيات الخبيثة والخدمات السحابية، وهو ما يزيد صعوبة الاكتشاف المبكر. وترى تيكبامين أن هذا النمط يرفع المخاطر على المؤسسات التي تعتمد على تبادل الملفات ووسائط التخزين المحمولة بشكل يومي.

عمليا، تكمن الخطورة في أن سلسلة العدوى تبدأ بخطوة بسيطة ثم تتحول إلى اختراق طويل الأمد وسرقة بيانات حساسة. لذلك، فإن تشديد حماية البريد الإلكتروني، وتحديث البرامج، وتعطيل التشغيل التلقائي للملفات المشبوهة، بات أمرا ضروريا لمواجهة هجمات غاماريدون على أوكرانيا وما يشبهها.