غوست رايتر يستهدف حكومة أوكرانيا ببرمجيات خبيثة متطورة

كشف تقرير تقني عن عودة مجموعة غوست رايتر لشن هجمات سيبرانية متطورة تستهدف المؤسسات الحكومية في أوكرانيا باستخدام تقنيات التصيد والبرمجيات الخبيثة.

تعمل مجموعة التهديد المعروفة باسم غوست رايتر (Ghostwriter)، والموالية لبيلاروسيا، على تنفيذ سلسلة جديدة من الهجمات التي تستهدف المنظمات الحكومية في أوكرانيا. وتنشط هذه المجموعة منذ عام 2016 على الأقل، حيث ارتبط اسمها بعمليات التجسس السيبراني وحملات التأثير التي تستهدف الدول المجاورة، وخاصة أوكرانيا.

ما هي مجموعة غوست رايتر وما هي أسماؤها المستعارة؟

تُعرف هذه المجموعة بقدرتها العالية على التكيف وتغيير أدواتها باستمرار لتجنب الاكتشاف. ووفقاً لتقرير تيكبامين، يتم تتبع المجموعة تحت عدة مسميات تقنية تشمل:

• فروستي نيبور (FrostyNeighbor)
• ستورم-0257 (Storm-0257)
• UNC1151
• أومبرال بيسون (Umbral Bison)
• TA445

وقد لاحظ الخبراء أن المجموعة تعمل على تحديث سلسلة الاختراق وطرق التهرب من الاكتشاف بشكل دوري، مع تركيز مكثف على الضحايا الموجودين في منطقة شرق أوروبا، مما يعكس نضجاً عملياتياً كبيراً في تنفيذ الهجمات المعقدة.

كيف يتم تنفيذ هجوم غوست رايتر الجديد ضد أوكرانيا؟

تعتمد الهجمات الأخيرة، التي تم رصدها منذ مارس 2026، على إرسال ملفات PDF خبيثة عبر مرفقات البريد الإلكتروني (Spear-phishing). وتنتحل هذه المستندات صفحة شركة الاتصالات الأوكرانية "أوكرتليكوم" (Ukrtelecom) لخداع الموظفين الحكوميين.

مراحل سلسلة العدوى المتطورة:

• إرسال بريد إلكتروني تصيدي يحتوي على رابط لمستند PDF ملغم.
• تنفيذ فحص النطاق الجغرافي (Geofencing) للتأكد من أن الضحية داخل أوكرانيا.
• تحميل نسخة "جافا سكريبت" من برمجية بيكاسو لودر (PicassoLoader).
• زرع برمجيات التجسس الشهيرة كوبالت سترايك (Cobalt Strike) وإن جي رات (njRAT).

تستخدم المجموعة تقنية متطورة لفحص عنوان IP الخاص بالضحية؛ فإذا كان العنوان لا ينتمي إلى أوكرانيا، يتم تقديم ملف PDF سليم تماماً لتجنب لفت انتباه الباحثين الأمنيين، وهي تقنية دفاعية تزيد من صعوبة تحليل الهجوم.

ما هي الثغرات التي استغلتها المجموعة سابقاً؟

تاريخياً، لم تتوقف المجموعة عن استغلال الثغرات الأمنية المكتشفة حديثاً. ففي أواخر عام 2023، استغلت المجموعة ثغرة في برنامج "وين رار" (WinRAR) تحمل الرمز CVE-2023-38831 لنشر برمجياتها الخبيثة. كما استهدفت جهات بولندية في عام 2025 عبر ثغرة في خدمة البريد "راوند كيوب" (Roundcube) لسرقة بيانات اعتماد الدخول.

وحسبما أشار تيكبامين، فإن المجموعة بدأت مؤخراً في دمج تقنيات مكافحة التحليل، حيث تعتمد وثائق الإغراء على اختبارات "كابتشا" (CAPTCHA) ديناميكية لتفعيل سلسلة الهجوم، مما يضمن أن الضحية إنسان وليس نظام فحص آلي.

كيف تحمي المؤسسات نفسها من هذه التهديدات؟

يؤكد الخبراء أن غوست رايتر تظل تهديداً مستمراً وقادراً على التكيف، حيث أظهرت رغبة قوية في تجديد ترسانتها بانتظام. وللحد من خطر هذه الهجمات، يجب على المؤسسات اتباع الإجراءات التالية:

• تحديث البرامج والأنظمة بشكل دوري لسد الثغرات مثل CVE-2024-42009.
• تدريب الموظفين على اكتشاف رسائل البريد الإلكتروني المشبوهة.
• استخدام حلول أمنية متقدمة قادرة على كشف برمجيات بيكاسو لودر وكوبالت سترايك.
• تفعيل المصادقة الثنائية لحماية حسابات البريد الإلكتروني من الاختراق.

في الختام، يمثل هجوم غوست رايتر الأخير تذكيراً بمدى تطور التهديدات السيبرانية الجيوسياسية، مما يتطلب يقظة دائمة من فرق الأمن الرقمي في كافة المؤسسات الحيوية.