SloppyLemming يهاجم حكومات باكستان وبنجلاديش ببرمجيات خبيثة

كشفت شركة Arctic Wolf عن هجمات إلكترونية جديدة تستهدف الكيانات الحكومية ومشغلي البنية التحتية الحيوية في باكستان وبنجلاديش. نفذت هذه الهجمات مجموعة التهديدات SloppyLemming بين يناير 2025 ويناير 2026، باستخدام سلاسل هجوم مزدوجة لنشر برمجيات خبيثة.

من هي مجموعة SloppyLemming؟

SloppyLemming هي جهة تهديد سيبراني معروفة تستهدف الحكومات وإنفاذ القانون والطاقة والاتصالات والكيانات التقنية في باكستان وسريلانكا وبنجلاديش والصين منذ عام 2022 على الأقل.

تُعرف المجموعة أيضاً بأسماء Outrider Tiger وFishing Elephant. في حملاتها السابقة، استخدمت المجموعة برمجيات خبيثة مثل Ares RAT وWarHawk.

ما هي سلاسل الهجوم الجديدة؟

استخدمت المجموعة سلسلتين مختلفتين من الهجمات لتسليم برمجيات خبيثة تُعرف بـ BurrowShell وkeylogger مبني بلغة Rust.

وفقاً لتقرير تيكبامين، يمثل استخدام لغة البرمجة Rust تطوراً ملحوظاً في أدوات SloppyLemming، حيث كانت التقارير السابقة توثق استخدام المجموعة للغات البرمجة التقليدية وأطر المحاكاة المعروفة مثل Cobalt Strike وHavoc.

السلسلة الأولى: BurrowShell Backdoor

تعتمد السلسلة الأولى على رسائل تصيدية تحتوي على ملفات PDF وExcel تفاعلية لبدء سلسلة الإصابة.

• ملفات PDF تحتوي على روابط تؤدي إلى تطبيقات ClickOnce
• نشر ملف NGenTask.exe المشروع وملف خبيث mscorsvc.dll
• إطلاق BurrowShell عبر تقنية DLL side-loading

BurrowShell هو باب خلفي متكامل يوفر قدرات متعددة للمهاجم:

• التلاعب بنظام الملفات
• التقاط لقطات الشاشة
• تنفيذ الأوامر عن بعد
• قدرات بروكسي SOCKS للنفاذ الشبكي

يُخفي البرنامج اتصالات القيادة والتحكم (C2) على أنها اتصالات خدمة Windows Update، ويستخدم تشفير RC4 بمفتاح مكون من 32 حرفاً.

السلسلة الثانية: Keylogger بلغة Rust

تعتمد السلسلة الثانية على مستندات Excel تحتوي على وحدات ماكرو خبيثة لنشر برمجية تسجيل لوحة المفاتيح.

• Keylogger مبني بلغة Rust
• قدرات فحص المنافذ
• تعداد الشبكة

كيف توسعت البنية التحتية للتهديد؟

كشفت التحقيقات عن تسجيل 112 نطاق Cloudflare Workers خلال فترة العام، مما يمثل قفزة ثمانية أضعاف من الـ 13 نطاقاً المسجلة سابقاً.

هذا التوسع الكبير في البنية التحتية يشير إلى تحول استراتيجي في تكتيكات المجموعة، مع التركيز المتزايد على الاستهداف الحكومي في جنوب آسيا.

كيف يمكن الحماية من هذه الهجمات؟

يوصي الخبراء الأمنيون باتباع عدة ممارسات للتصدي لتهديدات SloppyLemming:

• التعامل بحذر مع رسائل البريد الإلكتروني غير المتوقعة
• عدم فتح مرفقات PDF أو Excel من مصادر غير موثوقة
• تحديث أنظمة التشغيل والبرامج بانتظام
• استخدام حلول الأمن السيبراني المتقدمة
• تفعيل المصادقة متعددة العوامل

تذكر تيكبامين أن هذه الحملة تأتي في سياق تصاعد الهجمات السيبرانية المستهدفة في المنطقة، مما يتطلب تعزيز التدابير الأمنية لدى المؤسسات الحكومية والحرص على awareness الأمني للموظفين.