كشفت تقارير أمنية حديثة عن حملة هجوم سيبراني متطورة استهدفت شركة تصنيع أوروبية كبرى في آسيا، مستخدمةً ما عُرف بـ “عملية دريم جوب” (Operation DreamJob)، وهي تقنية خداع تستغل الفرص الوظيفية لخداع الضحايا.
تشير التحقيقات الأولية إلى أن الهجوم وقع في أغسطس 2025، وقد نجح المهاجمون في اختراق شبكة الشركة باستخدام رسائل احتيالية عبر تطبيق واتساب ويب، مقدمين عروض عمل وهمية لجمع معلومات حساسة أو نشر برمجيات خبيثة.
تفاصيل عملية “Operation DreamJob”
بدأت تفاصيل الهجوم عندما تلقى مهندس مشاريع في الشركة رسالة عبر واتساب ويب تتضمن رابط تحميل لملف مضغوط (ZIP). تم تشجيع المهندس على تنزيل هذا الملف واستخراجه، والذي احتوى على ثلاثة مكونات رئيسية: ملف PDF خبيث، وبرنامج شرعي مفتوح المصدر لعرض الملفات يسمى SumatraPDF.exe، وملف DLL خبيث باسم libmupdf.dll.
هذه التركيبة سمحت للمهاجمين باستغلال تطبيق موثوق به عبر تقنية تحميل DLL الجانبي (DLL sideloading)، حيث يقوم البرنامج التنفيذي الشرعي بتحميل مكتبة خبيثة دون علم المستخدم.
آلية الاختراق باستخدام واتساب ويب
يعتبر استخدام واتساب ويب كقناة رئيسية لتوزيع البرمجيات الخبيثة تطوراً ملحوظاً في أساليب المهاجمين، نظراً للانتشار الواسع للتطبيق وثقة المستخدمين فيه.
عندما قام المهندس بفتح ملف PDF، قام ملف SumatraPDF.exe الشرعي بتحميل ملف libmupdf.dll الخبيث، والذي أكد الباحثون أنه نسخة حديثة من حمّالة برمجيات خبيثة تُعرف باسم BURNBOOK.
تحليل الهجوم ومن يقف وراءه
قام محللو الأمن السيبراني في Orange Cyberdefense بالتحقيق في الحادثة، وأرجعوا الهجوم، بدرجة ثقة متوسطة، إلى مجموعة التهديد الكوري الشمالي المعروفة بـ UNC2970. ويكشف تحليلهم عن استخدام المهاجمين لنسخ متقدمة من البرمجيات الخبيثة، وتحديداًBURNBOOK و MISTPEN.
كما استغل المهاجمون بنية تحتية مخترقة من SharePoint و WordPress لعمليات التحكم والقيادة، محافظين على وجودهم في الشبكة لمدة ست ساعات متواصلة، مما سمح لهم بتنفيذ أنشطة يدوية داخل الشبكة.
الآثار والنتائج المحتملة
بعد الاختراق الأولي، نشر المهاجمون تقنيات متعددة لتوسيع نطاق سيطرتهم داخل شبكة الشركة الصناعية.
أجرى المهاجمون استعلامات واسعة النطاق ضد Active Directory لتعداد المستخدمين وأجهزة الكمبيوتر داخل النطاق، وجمع معلومات لعمليات الحركة الجانبية. كما نجحوا في اختراق حسابات النسخ الاحتياطي والحسابات الإدارية باستخدام تقنيات “تمرير التجزئة” (pass-the-hash)، مما مكنهم من المصادقة دون الحاجة لكلمات مرور نصية.
سمحت هذه الطريقة للمهاجمين، بعد استخراج تجزئات كلمات مرور NTLM، بإعادة استخدامها للمصادقة على الشبكة. ثم قاموا بنشر حمّالة برمجيات خبيثة إضافية تسمى TSVIPsrv.dll، والتي تم تحديدها كنسخة من برمجية MISTPEN الخبيثة. هذا المالك الخبيث قام بفك تشفير وتنفيذ ملف wordpad.dll.mui مباشرة في الذاكرة، وأنشأ اتصالات بخوادم SharePoint المخترقة للاتصالات القيادية. في المرحلة النهائية، قاموا بنشر ملف Release_PvPlugin_x64.dll، والذي يعمل كوحدة لسرقة المعلومات المصممة لاستخراج البيانات الحساسة من الأنظمة المخترقة.
تؤكد هذه الحادثة على التحديات المستمرة في الأمن السيبراني، خاصة فيما يتعلق بالصناعات التحويلية، وضرورة اليقظة الدائمة لمواجهة التهديدات المتطورة.