هجمات Bloody Wolf: برمجيات خبيثة تستهدف روسيا وأوزبكستان

كشفت تقارير أمنية حديثة عن حملة سيبرانية شرسة تقودها مجموعة تعرف باسم Bloody Wolf، تستهدف مؤسسات في أوزبكستان وروسيا لنشر برمجيات خبيثة للوصول عن بعد. وفقاً لما يتابعه تيكبامين، تعتمد هذه الهجمات على أدوات مشروعة لإخفاء نشاطها الخبيث.

ما هي تفاصيل حملة Bloody Wolf الجديدة؟

تتعقب شركة كاسبرسكي للأمن السيبراني هذا النشاط تحت اسم "Stan Ghouls". تنشط هذه المجموعة منذ عام 2023 على الأقل، وتركز هجماتها المعقدة على قطاعات حيوية متعددة في دول آسيا الوسطى وروسيا.

تشير البيانات إلى أن الحملة أوقعت بالفعل بعدد كبير من الضحايا، حيث تم تسجيل:

• حوالي 50 ضحية مؤكدة في أوزبكستان.
• 10 أجهزة متضررة في روسيا.
• إصابات محدودة في كازاخستان، تركيا، صربيا، وبيلاروسيا.

طالت محاولات الاختراق مؤسسات حكومية، شركات لوجستية، مرافق طبية، ومؤسسات تعليمية، مما يشير إلى توسع نطاق الأهداف بشكل ملحوظ.

كيف تتم عملية الاختراق عبر البريد الإلكتروني؟

تعتمد المجموعة أسلوب التصيد الموجه (Spear-Phishing) كبوابة أولى للعبور إلى الأنظمة المستهدفة. تبدأ العملية عادةً برسائل بريد إلكتروني تبدو شرعية ولكنها مفخخة.

تتضمن سلسلة الهجوم الخطوات التالية:

• إرسال رسائل بريد إلكتروني تحتوي على ملفات PDF ضارة.
• تتضمن ملفات PDF روابط خبيثة تؤدي عند النقر عليها إلى تحميل "Loader" خاص.
• يقوم المحمل بتثبيت NetSupport RAT، وهي أداة إدارة عن بعد مشروعة يتم استغلالها للتحكم في الأجهزة.

يُعد استخدام NetSupport تغييراً في تكتيكات المجموعة التي كانت تعتمد سابقاً على برمجية STRRAT، مما يعكس تطوراً في استراتيجيات التخفي.

هل الدافع مالي أم تجسس سيبراني؟

نظراً لتركيز "Stan Ghouls" على المؤسسات المالية، يرجح الخبراء أن الدافع الأساسي هو تحقيق مكاسب مالية. ومع ذلك، فإن الاستخدام الكثيف لأدوات الوصول عن بعد (RATs) قد يلمح أيضاً إلى أهداف تتعلق بالتجسس السيبراني وسرقة البيانات الحساسة.

كما رصد تيكبامين في التقرير احتمالية توسيع المجموعة لترسانتها البرمجية، حيث تم تحديد حمولات برمجية مرتبطة بـ "Mirai botnet" على البنية التحتية للمجموعة، مما يثير مخاوف من استهداف أجهزة إنترنت الأشياء (IoT) مستقبلاً.

ما علاقة هذه الهجمات بالتهديدات الأخرى؟

يأتي الكشف عن هذه الحملة تزامناً مع تصاعد الهجمات السيبرانية التي تستهدف المؤسسات الروسية، بما في ذلك تلك التي تنفذها مجموعات مثل ExCobalt. وتتميز هذه الهجمات بمحاولات سرقة بيانات اعتماد تطبيقات المراسلة والوصول إلى البريد الإلكتروني للضحايا.

إن حجم الاستهداف الذي تجاوز 60 ضحية في حملة موجهة ومعقدة كهذه يشير إلى الموارد الكبيرة التي تضخها هذه الجهات الفاعلة في عملياتها، مما يستدعي رفع مستوى الحذر الأمني في المؤسسات المستهدفة.