هل تريد نشرة يومية مجانية مخصصة؟ اختر فقط المواضيع التي تهمك ووفّر وقتك.

BusySnake Stealer يضرب جهات حكومية وقطاع الطاقة

ملخص للمقال
  • BusySnake Stealer يضرب جهات حكومية وقطاع الطاقة عبر حملة تجسس وسرقة بيانات استهدفت مؤسسات في روسيا والبرازيل وكازاخستان، ما يعكس اتساع النطاق الجغرافي
  • الخطير في BusySnake Stealer أنه مرتبط بمجموعة Armored Likho التي تجمع بين التجسس الرقمي وسرقة البيانات والأموال، ما يزيد أثر الهجوم على المؤسسات
  • تقنياً، BusySnake Stealer مبني بلغة Python ويعمل على Windows، مع قدرات لسرقة بيانات المتصفح ومعلومات النظام الحساسة بآليات تخفٍ متقدمة
  • تبدأ هجمات Armored Likho برسائل تصيد موجهة تحمل طابعاً حكومياً، ثم أرشيفات RAR تتضمن ملفات EXE أو اختصارات LNK لتنزيل حمولات من GitHub
  • بعد الإصابة، تنشئ البرمجية ملفات VBScript ومهاماً مجدولة داخل ويندوز لضمان الاستمرارية، ما يمنح المهاجمين وصولاً أوسع ويصعّب اكتشاف BusySnake Stealer
  • مقارنة بحملات سرقة تقليدية، يُظهر BusySnake Stealer تطوراً أوضح في الإخفاء والاستهداف المؤسسي، مع توقع تزايد الهجمات على الطاقة والجهات الحكومية قريباً
هل تريد نشرة يومية مجانية مخصصة؟ اختر اهتماماتك هنا
BusySnake Stealer يضرب جهات حكومية وقطاع الطاقة
محتوى المقال
جاري التحميل...
هجوم سيبراني يستهدف جهات حكومية

BusySnake Stealer ظهر في هجمات سيبرانية استهدفت جهات حكومية وقطاع الكهرباء، مع نشاط رُصد في روسيا والبرازيل وكازاخستان.

ما هو BusySnake Stealer ولماذا يثير القلق؟

تكشف الحملة الجديدة عن مجموعة تهديد تُعرف باسم Armored Likho، وهي جهة تجمع بين التجسس الرقمي ومحاولات سرقة البيانات والأموال في الوقت نفسه. هذا المزج يجعل الهجمات أكثر خطورة، لأنها لا تستهدف مؤسسة بعينها فقط، بل تسعى أيضاً إلى تحقيق مكاسب مباشرة من الأجهزة المصابة.

اللافت هنا أن الأداة الجديدة مبنية بلغة Python وتعمل على أجهزة ويندوز، مع قدرة على سرقة بيانات حساسة من المتصفح والنظام. ووفقاً لقراءة تيكبامين، فإن هذا النوع من البرمجيات الخبيثة يشير إلى تطور واضح في أساليب الإخفاء والتخفي.

كيف تبدأ هجمات Armored Likho على الضحايا؟

سلسلة الهجوم تبدأ عادة برسائل تصيد موجهة تبدو رسمية، وتحمل عناوين مرتبطة بإشعارات حكومية أو برامج اجتماعية. الهدف من هذا الأسلوب هو دفع الموظف إلى فتح ملف مضغوط دون إثارة الشكوك.

بعد فتح الأرشيف، يجد الضحية ملفات تنفيذية تعمل كمرحلة أولى لتنزيل حمولات إضافية من مستودعات على GitHub. ومن بين هذه الحمولات تظهر أداة BusySnake Stealer إلى جانب مكونات أخرى تمنح المهاجمين وصولاً أوسع إلى النظام.

  • وسيلة الدخول: رسائل تصيد موجهة عبر البريد الإلكتروني
  • نوع الملفات: أرشيفات RAR تحتوي على ملفات EXE أو اختصارات LNK
  • الهدف الأساسي: تنزيل برمجيات تجسس وسرقة معلومات
  • الأنظمة المستهدفة: أجهزة Windows داخل المؤسسات

ماذا يحدث بعد الإصابة؟

البرمجية الأولى لا تكتفي بتنزيل الملفات، بل تنشئ أيضاً ملفات VBScript لإخفاء آثار التشغيل الأول. بعد ذلك يتم إعداد مهمة مجدولة داخل ويندوز لتشغيل أداة السرقة تلقائياً والحفاظ على الاستمرارية.

ما الأدوات التي يستخدمها المهاجمون داخل الشبكة؟

الهجمات لا تعتمد على أداة واحدة، بل على حزمة متكاملة تشمل برمجيات وصول عن بُعد وأدوات نفق شبكي مثل Go2Tunnel. هذا يمنح المهاجمين قناة اتصال خفية مع خادم التحكم والسيطرة، حتى داخل بيئات شديدة التقييد.

  • RATs معيارية ومموهة لتفادي التحليل الديناميكي
  • Go2Tunnel لإنشاء نفق SSH عكسي
  • وحدات إضافية تُرسل حسب طبيعة الضحية
  • سرقة كلمات المرور والكوكيز والبيانات الحساسة

بعض النسخ التي جرى رصدها تتضمن وحدة مخصصة لسرقة ملفات تعريف الارتباط من المتصفحات، ما قد يفتح الباب لاختطاف الجلسات والوصول إلى حسابات داخلية. هذه النقطة مهمة لأن خسارة الكوكيز قد تؤدي إلى تجاوز المصادقة دون الحاجة إلى كلمة المرور نفسها.

لماذا تستهدف الحملة الجهات الحكومية وقطاع الطاقة؟

التركيز على الجهات الحكومية وقطاع الكهرباء ليس عشوائياً، لأن هذه القطاعات تضم بيانات استراتيجية وبنية تشغيلية حساسة. أي اختراق ناجح هنا يمكن أن يحقق قيمة استخباراتية كبيرة أو يسبب اضطراباً واسعاً في العمليات.

كما أن رصد تداخل بين أنشطة التجسس والسرقة المالية يعكس توجهاً متزايداً لدى مجموعات التهديد الحديثة. فهي تبحث عن أكثر من مسار للربح أو النفوذ، بدلاً من الالتزام بهدف واحد فقط.

كيف يمكن الحد من خطر BusySnake Stealer؟

الحد من الخطر يبدأ بتشديد فحص رسائل البريد الإلكتروني، ومنع تشغيل الملفات التنفيذية غير الموثوقة، ومراقبة المهام المجدولة الجديدة داخل ويندوز. كما يُنصح بمراجعة أي اتصالات SSH عكسية أو سلوك غير معتاد مرتبط بالمتصفحات.

في النهاية، تؤكد هذه الحملة أن BusySnake Stealer ليس مجرد برنامج سرقة تقليدي، بل جزء من عملية اختراق متكاملة تستهدف مؤسسات حساسة. ولهذا ترى تيكبامين أن الاستجابة السريعة، والتوعية الداخلية، وتحديث أدوات الرصد أصبحت عناصر أساسية لاحتواء هذا التهديد.

التعليقات (1)


أضف تعليقك

عدد الأحرف: 0 يدعم: **نص غامق** *مائل* `كود` [رابط](url)

مقالات مرتبطة


مقالات مقترحة

محتوى المقال
جاري التحميل...