تبدأ حملة تجسس إلكتروني جديدة باستهداف المنظمات الروسية، حيث يقوم برنامج تجسس جديد يعمل على أنظمة ويندوز، والذي لم يتم توثيقه سابقاً، بتسريب وثائق داخلية حساسة. تأتي هذه التطورات في وقت تتزايد فيه المخاوف من الهجمات السيبرانية الموجهة.
وفقاً لشركة كاسبرسكي للأمن السيبراني، بدأت الأنشطة الخبيثة في الظهور منذ يوليو 2024، مما يشير إلى مدة زمنية طويلة نسبياً لهذه الحملة. وتعمل هذه الأساليب الجديدة للتجسس الإلكتروني على تهديد خصوصية البيانات.
حملة تجسس إلكتروني تستهدف المؤسسات الروسية وتستخدم برنامج Batavia الخبيث
آلية الهجوم والإصابة
تبدأ الهجمات عادةً برسائل بريد إلكتروني تصيدية، يتم إرسالها تحت ذريعة توقيع عقود رسمية. تحتوي هذه الرسائل على روابط خبيثة تقود إلى تنزيل ملف أرشيف. يضم هذا الأرشيف سكربتاً مكتوباً بلغة Visual Basic Encoded، والذي يلعب دوراً رئيسياً في إيصال البرمجية الخبيثة.
عند تشغيل السكربت، يقوم بجمع معلومات تفصيلية عن الجهاز المصاب وإرسالها إلى خادم يتحكم به المهاجمون. بعد ذلك، يتم استرجاع حمولة تالية من نفس الخادم، وهي ملف تنفيذي جديد مكتوب بلغة Delphi.
سرقة المستندات وبيانات النظام
خلال هذه العملية، قد يعرض البرنامج التجسسي مستنداً وهمياً على الضحية كإلهاء، بينما يقوم في الخلفية بجمع سجلات النظام، ومختلف أنواع المستندات المكتبية، بالإضافة إلى التقاط صور للشاشة. كما يمتد جمع البيانات ليشمل الأجهزة القابلة للإزالة المتصلة بالجهاز.
من جهة أخرى، يمتلك برنامج Delphi القدرة على تحميل ملف تنفيذي آخر من الخادم، والذي يستهدف مجموعة أوسع من امتدادات الملفات لعمليات الجمع المستقبلية. تشمل هذه الملفات الصور، ورسائل البريد الإلكتروني، وعروض PowerPoint التقديمية، وملفات الأرشيف، والمستندات النصية.
مراحل متقدمة من الاختراق
يتم بعد ذلك نقل البيانات التي تم جمعها إلى نطاق مختلف (“ru-exchange[.]com”)، والذي يتم من خلاله تنزيل ملف تنفيذي غير معروف ليتم استخدامه كمرحلة رابعة في سلسلة الهجوم، مما يضمن استمرار عملية الاختراق.
وتشير البيانات من كاسبرسكي إلى أن أكثر من 100 مستخدم في عدة عشرات من المنظمات قد تلقوا رسائل بريد إلكتروني تصيدية على مدار العام الماضي. ويؤكد هذا الانتشار الواسع النطاق خطورة برنامج Batavia.
برامج تجسس أخرى مماثلة
يأتي هذا الكشف بالتزامن مع تفصيل مختبرات Fortinet FortiGuard لحملة خبيثة أخرى تقوم بتوزيع برنامج تجسس جديد لويندوز يحمل الاسم الرمزي NordDragonScan. وعلى الرغم من أن مسار الوصول الأولي لهذا البرنامج غير واضح تماماً، إلا أنه يُعتقد أنه يبدأ برسائل بريد إلكتروني تصيدية تنشر رابطاً يؤدي إلى تنزيل أرشيف RAR.
وبمجرد تثبيته، يقوم NordDragonScan بفحص الجهاز، ونسخ المستندات، واستخراج ملفات تعريف كاملة من متصفحات Chrome و Firefox، وأخذ لقطات للشاشة. وتظهر هذه التقارير المتزامنة تزايداً في التهديدات الموجهة للبيانات.
آلية عمل NordDragonScan
يحتوي الأرشيف على ملف اختصار لويندوز (LNK) يستغل البرنامج “mshta.exe” لتشغيل تطبيق HTML (HTA) مستضاف عن بعد. هذه الخطوة تؤدي إلى استرجاع مستند وهمي يبدو غير ضار، بينما يتم تحميل حمولة خبيثة مبنية على .NET في النظام بهدوء.
يقوم برنامج NordDragonScan بإنشاء اتصالات بخادم بعيد (“kpuszkiev[.]com”)، ويقوم بتثبيت وجود دائم عبر تعديلات في سجل ويندوز، ويجري استطلاعاً شاملاً للجهاز المصاب لجمع بيانات حساسة ونقلها إلى الخادم عبر طلب HTTP POST.
ووفقاً لرأي الباحث الأمني، فإن ملف RAR يحتوي على استدعاءات LNK التي تشغل mshta.exe لتنفيذ سكربت HTA خبيث، والذي يعرض مستنداً وهمياً باللغة الأوكرانية. وفي النهاية، يقوم بتثبيت حمولته الخبيثة في الخلفية دون أن يلاحظها المستخدم. ويُظهر NordDragonScan قدرة على مسح الجهاز، والتقاط لقطات للشاشة، واستخراج الوثائق وملفات PDF، واعتراض بيانات Chrome و Firefox.