مرتزقة «أكولا» يوسّعون شبكتهم: مجموعة سيبرانية روسية تتسلّل إلى الأوساط المالية الأوروبية

العنوان الفرعي: جهة تهديد موالية لروسيا تستغل حِيلاً قانونية وأدوات وصول عن بُعد لاختراق مؤسسة في أوروبا الغربية تدعم أوكرانيا.

بدأ الأمر برسالة بريد إلكتروني تبدو بريئة - قانونية، رسمية، عاجلة. لكن خلف قشرة البيروقراطية كانت تختبئ بصمات رقمية لمجموعة جريمة سيبرانية متمرّسة، معروفة بحملاتها المتواصلة في أوكرانيا. هذه المرة، غير أن أنظارهم كانت تتجه إلى غنيمة جديدة: مؤسسة مالية أوروبية متشابكة مع جهود إعادة إعمار أوكرانيا. وقد شكّل الهجوم توسعًا مقلقًا لعمليات سيبرانية موالية لروسيا خارج ساحات القتال المألوفة في أوروبا الشرقية، وصولًا إلى قلب البنية التحتية المالية في الغرب.

حقائق سريعة

انتحل المهاجمون نطاقًا قضائيًا أوكرانيًا لتنفيذ تصيّد استهدف مستشارًا رفيعًا في مؤسسة أوروبية.
تضمّن تسليم البرمجية الخبيثة سلسلة أرشيفات متعددة الطبقات، انتهت بتثبيت برنامج الوصول عن بُعد الروسي RMS.
الجهة المهدِّدة UAC-0050 (المعروفة أيضًا باسم Mercenary Akula) مرتبطة بإنفاذ القانون الروسي ومعروفة بجمع المعلومات والسرقة المالية.
تاريخيًا، استهدفت UAC-0050 القطاعات المالية الأوكرانية، لكنها باتت الآن تستطلع كيانات في أوروبا الغربية تدعم أوكرانيا.
صعّدت مجموعات سيبرانية روسية مشابهة، مثل APT29، هجمات التصيّد الموجّه ضد المنظمات غير الحكومية والهيئات القانونية في دول الناتو.

داخل الهجوم: تشريح عملية سطو رقمية

بدأت العملية برسالة تصيّد موجّه صيغت بعناية، مع انتحال هيئة قضائية أوكرانية شرعية. وقد وُجّه المستلم - وهو مستشار قانوني وسياساتي رفيع مطّلع على عمليات مشتريات ومالية حساسة - إلى تنزيل ملف ZIP يبدو غير مؤذٍ من خدمة مشاركة ملفات شرعية تُدعى PixelDrain. وكانت هذه الخطوة الأولى في سلسلة عدوى متقدمة صُممت لتفادي ضوابط الأمن التقليدية.

داخل ملف ZIP، أدرج المهاجمون أرشيف RAR يحتوي على ملف 7-Zip محمي بكلمة مرور. أما الحمولة النهائية، فتم تمويهها بامتداد مزدوج (“.pdf.exe”)، ونفّذت مُثبّت MSI لنظام Remote Manipulator System (RMS)، وهو أداة سطح مكتب عن بُعد روسية الصنع. وباستخدام RMS - وهو برنامج مخصص أصلًا للإدارة الشرعية عن بُعد - حقق المهاجمون وصولًا دائمًا وخفيًا مع تجاوز كثير من دفاعات مضادات الفيروسات، وهي حيلة تُعرف باسم “الاعتماد على أدوات النظام” (living off the land).

يعكس هذا النهج دليل عمل UAC-0050 المعروف. ففي السابق، نشرت هذه المجموعة أدوات مثل LiteManager وRemcosRAT في هجمات استهدفت محاسبي أوكرانيا ومسؤوليها الماليين. لكن هذه الحملة الأخيرة تشير إلى تحول مقلق: منظمات أوروبا الغربية، ولا سيما الداعمة لأوكرانيا، أصبحت الآن في مرمى الاستهداف.

وقد حدّد فريق الاستجابة لطوارئ الحاسوب في أوكرانيا UAC-0050، المعروفة أيضًا باسم Mercenary Akula، بوصفها مجموعة مرتزقة مرتبطة بإنفاذ القانون الروسي. وتمزج عملياتهم بين سرقة البيانات والجريمة المالية والحرب النفسية - وأحيانًا تحت راية “Fire Cells”. ويتردد صدى هذا التوسع غربًا مع تحركات مماثلة لجهات تهديد روسية أخرى، بما في ذلك APT29 (“Cozy Bear”)، التي كثّفت حملات التصيّد ضد المنظمات غير الحكومية والكيانات القانونية عبر دول الناتو سعيًا وراء المعلومات والنفوذ.

الخلاصة: خط المواجهة المتّسع

مع تلاشي الحدود بين الصراعين المادي والرقمي، يُعد توغل Mercenary Akula في أوروبا الغربية تذكيرًا صارخًا: دعم أوكرانيا يأتي بمخاطر سيبرانية عالمية ودائمة ومتزايدة التعقيد. وبالنسبة للمؤسسات الواقعة على خطوط المساعدة وإعادة الإعمار الأمامية، لم تعد اليقظة خيارًا - بل مسألة وجود.

WIKICROOK

Spear: التصيّد الموجّه هو هجوم سيبراني مستهدف يستخدم رسائل بريد إلكتروني مُخصّصة لخداع أفراد أو منظمات بعينها للكشف عن معلومات حساسة.
Spoofed domain: النطاق المُنتحل هو عنوان موقع مزيف صُمم ليبدو كأنه حقيقي، ويستخدمه المهاجمون لخداع المستخدمين وسرقة معلومات حساسة.
Remote access tool (RAT): أداة الوصول عن بُعد (RAT) هي برنامج يتيح لشخص ما التحكم في جهاز كمبيوتر عن بُعد، ويُستخدم للدعم الشرعي وكذلك للهجمات السيبرانية الخبيثة.
Living off the land: “الاعتماد على أدوات النظام” يعني أن المهاجمين يستخدمون أدوات النظام الموثوقة والمضمنة لأغراض خبيثة، ما يجعل أنشطتهم أصعب كشفًا.
Double extension trick: خدعة الامتداد المزدوج تُموّه البرمجيات الخبيثة عبر تسمية الملفات بامتدادين، مثل '.pdf.exe'، لتبدو للمستخدمين كأنها مستندات غير ضارة.