هجمات "جوست رايتر" تستهدف حكومة أوكرانيا ببرمجيات خبيثة

كشف تقرير جديد عن استهداف مجموعة "جوست رايتر" للجهات الحكومية في أوكرانيا عبر برمجيات خبيثة متنكرة في منصة "بروميثيوس" التعليمية لسرقة البيانات.

رصدت تقارير أمنية حديثة، تابعها فريق تيكبامين، نشاطاً مكثفاً لفاعل التهديد المرتبط ببيلاروسيا والمعروف باسم "جوست رايتر" (Ghostwriter)، والمعروف أيضاً بأسماء UAC-0057 وUNC1151.

تستخدم هذه المجموعة إغراءات تتعلق بمنصة "بروميثيوس" (Prometheus)، وهي منصة تعليمية أوكرانية شهيرة عبر الإنترنت، لاختراق المؤسسات الحكومية الحساسة. وقد بدأ هذا النشاط التخريبي منذ ربيع عام 2026.

ما هي تفاصيل هجمات "جوست رايتر" الجديدة؟

تعتمد الهجمات على إرسال رسائل بريد إلكتروني احتيالية من حسابات تم اختراقها مسبقاً. ووفقاً لبيانات تيكبامين، فإن العملية تتبع تسلسلاً فنياً دقيقاً لضمان الاختراق.

عادةً ما يحتوي البريد الإلكتروني على مرفق بصيغة PDF يتضمن رابطاً خبيثاً. عند النقر عليه، يتم تنزيل أرشيف مضغوط يحتوي على ملف جافا سكريبت (JavaScript).

• يُطلق على ملف الجافا سكريبت الأولي اسم OYSTERFRESH.
• تقوم البرمجية بعرض وثيقة وهمية لصرف انتباه المستخدم عن النشاط الخفي.
• يتم كتابة حمولة مشفرة ومموهة تسمى OYSTERBLUES في سجل الويندوز.
• يتم تنزيل وتشغيل أداة OYSTERSHUCK المسؤولة عن فك تشفير البيانات المسروقة.

كيف تعمل برمجية OYSTERBLUES الخبيثة؟

تم تصميم برمجية OYSTERBLUES لجمع أكبر قدر ممكن من المعلومات حول النظام المستهدف. يتم إرسال كافة البيانات المجمعة إلى خادم التحكم والسيطرة (C2) عبر طلبات HTTP POST.

تشمل المعلومات التي يتم استخراجها من الأجهزة المصابة ما يلي:

• اسم الكمبيوتر وحساب المستخدم الحالي.
• إصدار نظام التشغيل وتفاصيل تقنية دقيقة.
• وقت آخر عملية إقلاع للنظام (Boot time).
• قائمة كاملة بجميع العمليات الجارية (Running processes).

بعد جمع البيانات، تنتظر البرمجية أوامر إضافية لتنفيذ أكواد جافا سكريبت جديدة. وغالباً ما تكون المرحلة النهائية هي زرع برمجية "كوبالت سترايك" (Cobalt Strike) الشهيرة لاستغلال النظام بالكامل.

ما هو دور الذكاء الاصطناعي في الهجمات السيبرانية؟

أشار مجلس الأمن القومي والدفاع الأوكراني إلى أن المهاجمين بدأوا في دمج تقنيات الذكاء الاصطناعي في ترسانتهم. يتم استخدام أدوات مثل OpenAI ChatGPT و Google Gemini لاستكشاف الأهداف وتطوير البرمجيات.

تساعد هذه التقنيات في إنشاء أوامر برمجية خبيثة بشكل تلقائي أثناء التشغيل، مما يصعّب مهمة أنظمة الدفاع التقليدية. وقد حدد الخبراء ناقلات الاختراق الرئيسية لعام 2025:

• الهندسة الاجتماعية المتقدمة عبر البريد الإلكتروني.
• استغلال الثغرات الأمنية غير المكتشفة في البرمجيات.
• استخدام حسابات RDP وVPN المخترقة للدخول إلى الشبكات.
• الهجمات على سلاسل التوريد البرمجية.
• استخدام البرامج غير المرخصة (المكركة) التي تحتوي على أبواب خلفية مدمجة.

كيف يمكنك حماية الأنظمة من تهديدات OYSTERFRESH؟

لتقليل مخاطر هذه التهديدات المتقدمة، يوصي خبراء الأمن الرقمي باتباع سياسات صارمة لتقليل سطح الهجوم. إليك أهم الخطوات الوقائية:

• تقييد قدرة حسابات المستخدمين العادية على تشغيل ملف wscript.exe.
• تفعيل حلول مراقبة سلوك النظام للكشف عن الأنشطة غير الطبيعية في السجل.
• تحديث أنظمة التشغيل والبرامج بشكل دوري لسد الثغرات الأمنية.
• توعية الموظفين بمخاطر النقر على روابط غير معروفة في ملفات PDF.

في الختام، يمثل نشاط مجموعة "جوست رايتر" تطوراً خطيراً في استخدام البرمجيات الخبيثة الموجهة. ويجب على المؤسسات تعزيز دفاعاتها لمواجهة هذه التهديدات التي باتت تعتمد بشكل متزايد على الذكاء الاصطناعي.