البرمجيات الخبيثة في مرمى النيران: UAC-0247 الغامضة تضرب العيادات الأوكرانية والوكالات الحكومية

العنوان الفرعي: مجموعة جريمة إلكترونية مجهولة تستغل الأزمات الإنسانية لإطلاق برمجيات متقدمة لسرقة البيانات عبر القطاع العام في أوكرانيا.

في خضم الاضطرابات المستمرة، أصبحت الوكالات الحكومية الأوكرانية وعيادات الرعاية الصحية على خطوط المواجهة أحدث ساحة معركة في حرب إلكترونية خفية. بين مارس وأبريل 2026، نسّقت مجموعة تهديد مراوغة تُعرف باسم UAC-0247 حملة برمجيات خبيثة موجّهة مزجت بين الهندسة الاجتماعية وحمولات متقدمة وأدوات اختراق مفتوحة المصدر - وكل ذلك بهدف واحد مرعب: سرقة بيانات حساسة من العاملين في الخطوط الأمامية للاستجابة للأزمات.

حقائق سريعة

استهدفت UAC-0247 عيادات أوكرانية ومستشفيات طوارئ ووكالات حكومية في مطلع 2026.
استخدم المهاجمون رسائل تصيّد متنكرة في هيئة عروض مساعدات إنسانية لاستدراج الضحايا.
حصدت حمولات البرمجيات الخبيثة بيانات الاعتماد من المتصفحات وواتساب، ومكّنت التحكم عن بُعد بالأنظمة المصابة.
تم تسليح أدوات مفتوحة المصدر مثل ChromElevator وZAPiXDESK لسرقة البيانات والحركة الجانبية.
استهدفت بعض الهجمات أيضًا قوات الدفاع الأوكرانية عبر أرشيفات خبيثة أُرسلت بواسطة Signal.

تشريح حملة متخفّية

بدأت العملية بحيلة بسيطة لكنها خبيثة: رسالة بريد إلكتروني تبدو وكأنها من جهة إنسانية، تدعو المستلمين للنقر على رابط. قاد ذلك الرابط إما إلى موقع شرعي مخترق عبر ثغرة البرمجة عبر المواقع (XSS) أو إلى موقع مزيف مُتقن صُمّم بالذكاء الاصطناعي. كان الخطر الحقيقي يتربص خلف النقرة التالية - ملف اختصار ويندوز (LNK) يستدعي سرًا أداة ويندوز المدمجة mshta.exe لتنفيذ تطبيق HTML (HTA) عن بُعد.

بينما كان الضحايا منشغلين بنموذج تمويهي، كانت البرمجيات الخبيثة تحقن بهدوء شيفرة قشرية (shellcode) داخل عمليات ويندوز الموثوقة، متفاديةً العديد من أدوات الحماية. ولم تتوقف درجة التعقيد التقني عند هذا الحد: فقد عثر الباحثون على مُحمّل ثنائي المراحل، تستخدم مرحلته الثانية تنسيقًا تنفيذيًا مملوكًا لإخفاء الحمولة النهائية أكثر، والتي كانت مضغوطة ومشفرة.

ضمن الترسانة، حدّد CERT-UA أداة RAVENSHELL، وهي قشرة عكسية لتنفيذ الأوامر عن بُعد، وAGINGFLY، وهو حصان طروادة للوصول عن بُعد مبني بلغة C#. تواصل AGINGFLY مع مشغّليه عبر WebSockets، ما أتاح لهم تشغيل الأوامر وتسجيل ضغطات المفاتيح ونشر برمجيات خبيثة إضافية - كل ذلك مع الاندماج ضمن حركة الشبكة الطبيعية. كما استخدم مكوّن آخر، وهو سكربت PowerShell المسمى SILENTLOOP، قنوات تيليغرام لاسترجاع عناوين خوادم القيادة والتحكم (C2) بشكل ديناميكي، بما يضمن قدرة المهاجمين على التكيّف حتى لو تم حظر البنية التحتية.

وأكملت أدوات الاختراق مفتوحة المصدر عدة العمل: تجاوز ChromElevator تشفير المتصفح لاستخراج ملفات تعريف الارتباط وكلمات المرور، بينما استهدف ZAPiXDESK بيانات WhatsApp Web. وسهّلت أدوات مثل RustScan وLigolo-Ng وChisel فحص الشبكات وإنشاء أنفاق خفية، فيما قام XMRig حتى بتعدين العملات المشفرة على الأجهزة المصابة.

تداعيات أوسع وتدابير مضادة

يشير حجم الحملة وتعقيدها إلى خصم يمتلك موارد كبيرة، رغم أن الأصول الحقيقية لـ UAC-0247 ما تزال محاطة بالغموض. وتُظهر الأدلة أن المجموعة ربما استهدفت أيضًا قوات الدفاع الأوكرانية عبر ملفات ZIP خبيثة أُرسلت عبر Signal، مستخدمةً أسلوب التحميل الجانبي لـ DLL لتجاوز الحماية.

يحثّ CERT-UA على اتخاذ إجراءات عاجلة: تقييد تنفيذ أنواع الملفات عالية المخاطر (LNK وHTA وJS) والحد من استخدام الأدوات الشرعية لكنها قابلة للاستغلال مثل mshta.exe وpowershell.exe. وفي مشهد تُوفّر فيه الأزمات الإنسانية غطاءً مثاليًا، تصبح اليقظة الرقمية أكثر أهمية من أي وقت مضى.

الخلاصة

تُعد حملة UAC-0247 تذكيرًا صارخًا بأن الجبهة السيبرانية في أوقات الأزمات حقيقية بقدر أي ساحة قتال. ومع ازدياد دهاء المهاجمين، يجب على المدافعين ألا يكتفوا بالتقدم بخطوة واحدة، بل أن يظلوا متيقظين دائمًا - لئلا تحمل الرسالة التالية أكثر من مجرد كلمات.

WIKICROOK

التصيّد: التصيّد هو جريمة إلكترونية يرسل فيها المهاجمون رسائل مزيفة لخداع المستخدمين كي يكشفوا بيانات حساسة أو ينقروا روابط خبيثة.
الشيفرة القشرية: الشيفرة القشرية برنامج صغير يحقنه المهاجمون لتنفيذ أوامر أو تنزيل مزيد من البرمجيات الخبيثة، وغالبًا ما يُستخدم لاستغلال الثغرات في الأنظمة.
القشرة العكسية: القشرة العكسية هي عندما يتصل كمبيوتر مخترق سرًا بالمهاجم، مانحًا إياه تحكمًا عن بُعد ومتجاوزًا دفاعات الأمان القياسية.
C2 (القيادة: C2 (القيادة والتحكم) هو النظام الذي يستخدمه المهاجمون للتواصل مع الأجهزة المصابة والتحكم بها داخل شبكة مخترقة.
التحميل الجانبي لـ DLL: التحميل الجانبي لـ DLL تقنية يخدع فيها المهاجمون البرامج لتحميل ملفات DLL خبيثة، متجاوزين الحماية ومحققين وصولًا أو تحكمًا غير مصرح به.