كشفت تقارير أمنية حديثة عن حملة تجسس مكثفة يشنها قراصنة موالون لروسيا تستهدف الجيش الأوكراني والمؤسسات الحكومية، مستغلين تطبيق المراسلة الشهير فايبر لنشر برمجيات خبيثة متطورة.
ووفقاً للتحليلات التقنية التي تابعها فريق تيكبامين، فإن المجموعة المعروفة باسم UAC-0184 (أو Hive0156) واصلت أنشطتها الاستخباراتية عالية الكثافة في عام 2025، حيث طورت أساليبها من استخدام البريد الإلكتروني وتطبيق تليجرام إلى التركيز على منصة فايبر كأداة رئيسية للاختراق.
كيف يعمل الهجوم السيبراني عبر فايبر؟
تعتمد سلسلة الهجوم الجديدة على تقنيات الهندسة الاجتماعية المتقنة لخداع الضحايا، حيث تبدأ العملية بإرسال رسائل عبر فايبر تحتوي على ملفات مضغوطة (ZIP) خبيثة.
تتضمن هذه الملفات اختصارات ويندوز (LNK) مموهة لتبدو وكأنها مستندات رسمية، مما يخدع المستخدمين لفتحها:
- تظهر الملفات كأنها مستندات Word أو Excel لتقليل الشكوك.
- عند فتح الملف، يتم تنفيذ برمجية Hijack Loader في الخلفية بصمت.
- يتم جلب أرشيف ثانٍ من خادم بعيد باستخدام سكريبت PowerShell.
ما هي قدرات برمجية Hijack Loader الخبيثة؟
تتميز البرمجية المستخدمة في هذا الهجوم بقدرات عالية على التخفي وتجاوز أدوات الحماية التقليدية. حيث يتم إعادة بناء ونشر المحمل في الذاكرة عبر عمليات متعددة المراحل.
يستخدم المهاجمون تقنيات مثل تحميل DLL الجانبي لتجنب الاكتشاف، وقبل تنفيذ الهجوم الكامل، تقوم البرمجية بمسح شامل للنظام للبحث عن برامج الحماية المثبتة، ومن أبرزها:
- برامج كاسبرسكي (Kaspersky).
- برامج أفاست (Avast) وAVG.
- برامج بت ديفندر (BitDefender).
- أدوات مايكروسوفت الأمنية.
مخاطر أداة Remcos RAT
الهدف النهائي لهذا الهجوم هو تثبيت أداة الإدارة عن بعد المعروفة باسم Remcos RAT. ورغم تسويق هذه الأداة كبرنامج شرعي لإدارة الأنظمة، إلا أن قدراتها التجسسية تجعلها سلاحاً مفضلاً للمخترفين.
وتمنح هذه الأداة المهاجمين سيطرة كاملة تشمل:
- إدارة الجهاز المصاب والتحكم فيه عن بعد.
- تنفيذ أوامر وتحميل ملفات إضافية.
- مراقبة نشاط المستخدم وسرقة البيانات الحساسة.
ويحذر خبراء تيكبامين من أن استخدام تطبيقات المراسلة الشائعة مثل فايبر وتليجرام في الهجمات السيبرانية يعكس تطوراً خطيراً يستدعي مزيداً من الحذر عند التعامل مع الملفات المجهولة.
