AgingFly: داخل حملة البرمجيات الخبيثة المتخفية التي تستهدف مستشفيات أوكرانيا وحكومتها

العنوان الفرعي: سلالة جديدة من البرمجيات الخبيثة، AgingFly، تسرق بيانات الاعتماد وتتفادى وسائل الدفاع ضمن سلسلة من الهجمات الموجّهة عبر القطاعات الحيوية في أوكرانيا.

بدأ الأمر برسالة بريد إلكتروني بسيطة تعد بمساعدات إنسانية. بالنسبة لموظفي الحكومة والعاملين في المستشفيات في أوكرانيا، بدت الرسالة طوق نجاة - إلى أن نقروا. خلف الواجهة الخيّرة كان يختبئ تهديد جديد هائل: AgingFly، عائلة برمجيات خبيثة صُممت للتخفي والتكيّف والسرقة الرقمية. خلال الأسابيع الأخيرة، اخترقت هذه الأداة المتقدمة مكاتب حكومية محلية ومستشفيات، وهرّبت بيانات حساسة، تاركةً المدافعين السيبرانيين يهرعون لكشف أسرارها.

حقائق سريعة

AgingFly عائلة برمجيات خبيثة مكتشفة حديثًا تستهدف جهات حكومية ومنظمات رعاية صحية أوكرانية.
يستدرج المهاجمون الضحايا برسائل بريد متنكرة على هيئة عروض مساعدات إنسانية، مستخدمين مواقع مخترقة أو مُولَّدة بالذكاء الاصطناعي.
تسرق البرمجية الخبيثة بيانات الاعتماد من متصفحات قائمة على Chromium وتطبيق واتساب لسطح المكتب.
يقوم AgingFly بتجميع وحدات الهجوم ديناميكيًا على جهاز الضحية، ما يجعل اكتشافه أصعب.
ترتبط الحملة بعنقود التهديد UAC-0247، مع أدلة على استهداف ممثلي قوات الدفاع.

سلسلة هجوم AgingFly: كيف تعمل

تبدأ الحملة، التي تتعقبها CERT-UA الأوكرانية تحت اسم UAC-0247، بحيلة تصيّد كلاسيكية: رسالة بريد إلكتروني صيغت لتبدو كعرض للمساعدة الإنسانية. يُغرى الضحايا بالنقر على رابط يعيد توجيههم إما إلى موقع شرعي لكنه مخترق (عبر ثغرة برمجة نصية عبر المواقع) أو إلى موقع مزيف مقنع تم توليده بأدوات ذكاء اصطناعي.

وبمجرد وقوعهم في الفخ، يتلقى الضحايا أرشيفًا يحتوي على ملف اختصار (.LNK). يطلق هذا الملف نصًا برمجيًا مخفيًا يتصل بمورد بعيد، ويسترجع ملفًا خبيثًا، وينشئ مهمة مجدولة لضمان الاستمرارية. الحمولة الحقيقية هي مُحمِّل متعدد المراحل: بعد سلسلة من الخطوات المُموّهة، يسلّم AgingFly الذي يبدأ فورًا إجراءات الاستطلاع وسرقة البيانات.

ترسانة AgingFly التقنية لافتة بقدرتها على التكيّف. فبدلًا من أن يأتي بمجموعة أوامر ثابتة، يقوم بتنزيل الشيفرة المصدرية لوحداته مباشرةً من خادم القيادة والتحكم (C2) ثم يجمعها على المضيف المصاب في الوقت الحقيقي. لا يقلل هذا النهج من البصمة الأولية للبرمجية الخبيثة فحسب، بل يتيح للمهاجمين أيضًا تعديل القدرات أو توسيعها عند الطلب - ما يجعل الكشف الساكن بواسطة أدوات مكافحة الفيروسات أكثر صعوبة بكثير.

تستخدم البرمجية الخبيثة أدوات مفتوحة المصدر مثل ChromElevator لاستخراج كلمات المرور وملفات تعريف الارتباط من متصفحات Chromium، وZAPiDESK لفك تشفير قواعد بيانات واتساب. وللحركة الجانبية واستكشاف الشبكة، تستفيد من أدوات شائعة مثل RustScan وLigolo-ng وChisel. ويجري تشفير الاتصال مع مشغّليها إما عبر شيفرة XOR بسيطة أو تشفير AES-CBC عبر WebSockets.

ورغم أن هذا النهج الديناميكي يجعل AgingFly أصعب رصدًا، فإنه يضيف أيضًا مخاطر: اعتماد البرمجية الخبيثة على اتصال C2 في الوقت الحقيقي والتجميع أثناء التشغيل قد يترك آثارًا يمكن للمدافعين اليقظين تتبعها. توصي CERT-UA بحظر تنفيذ ملفات LNK وHTA وJS لتعطيل سلسلة العدوى.

نظرة إلى الأمام

إن ظهور AgingFly تذكير صارخ بأن مجرمي الإنترنت يتطورون بالسرعة نفسها التي تتطور بها أهدافهم. وبفضل تصميمه المعياري القابل للتكيّف وتركيزه على سرقة بيانات الاعتماد، تمثل هذه الحملة الخبيثة جبهة جديدة في الهجمات الموجّهة - جبهة تمزج الابتكار التقني بالهندسة الاجتماعية. بالنسبة للمنظمات في أوكرانيا وخارجها، أصبحت اليقظة والدفاعات متعددة الطبقات أكثر أهمية من أي وقت مضى.

WIKICROOK

التصيّد: التصيّد جريمة إلكترونية يرسل فيها المهاجمون رسائل مزيفة لخداع المستخدمين كي يكشفوا بيانات حساسة أو ينقروا روابط خبيثة.
أمر: الأمر هو تعليمة تُرسل إلى جهاز أو برنامج، غالبًا من خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
الاستمرارية: تتضمن الاستمرارية تقنيات تستخدمها البرمجيات الخبيثة للبقاء بعد إعادة التشغيل والاختباء داخل الأنظمة، غالبًا عبر محاكاة عمليات أو تحديثات شرعية.
WebSockets: تتيح WebSockets اتصالًا ثنائي الاتجاه وفي الوقت الحقيقي بين العملاء والخوادم عبر اتصال واحد، وهو أمر أساسي للتحديثات الحية وتطبيقات الويب التفاعلية.
التجميع أثناء التشغيل: يولّد التجميع أثناء التشغيل شيفرة قابلة للتنفيذ خلال تنفيذ البرنامج، ما يتيح التكيّف لكنه يضيف أيضًا مخاطر محتملة على الأمن السيبراني إذا لم يُدار على نحو صحيح.