تواجه جهات حكومية محلية ومؤسسات رعاية صحية أوكرانية، بما في ذلك مستشفيات وخدمات إسعاف، موجة متزايدة من الهجمات السيبرانية التي تستهدف سرقة بيانات حساسة. وتبدأ هذه الهجمات غالبًا برسائل بريد إلكتروني تصيدية متطورة، تشكل جزءاً من حملة أوسع تقف وراءها جهة تهديد تُعرف باسم UAC-0247.
تُجرى هذه الحملة منذ بداية عام 2026، وتتميز بقدرتها على تجاوز الدفاعات الأولية وسرقة بيانات المتصفحات الفورية وتطبيقات المراسلة مثل واتساب. كما تسعى الجهات المهاجمة للتوسع داخل الشبكات المخترقة بعد تحقيق الوصول الأولي.
حملة UAC-0247 تستهدف القطاعين الحكومي والصحي
تعتمد الحملة في وصولها الأولي على رسائل بريد إلكتروني خبيثة، غالباً ما تتظاهر بأنها تتعلق بمناقشات مساعدة إنسانية. يتم دعوة المستلم للنقر على رابط يبدو شرعياً، إما من خلال بناء موقع ويب مزيف باستخدام أدوات الذكاء الاصطناعي، أو عبر استغلال ثغرات Cross-Site Scripting (XSS) في مواقع طرف ثالث موثوقة.
عند النقر على الرابط، يتم تنزيل ملف أرشيفي للمستخدم. عند فتحه، يقوم ملف اختصار بتشغيل ملف HTA، الذي يسحب بدوره ملف HTA آخر عن بعد. هذا الإجراء يهدف إلى تضليل المستخدم بينما يقوم عملية خلفية بتنزيل وتشغيل ملف تنفيذي عبر مهمة مجدولة.
وبحسب مركز CERT-UA الأوكراني، فقد رصدت هذه الأنشطة ضمن موجة مكثفة من الهجمات السيبرانية خلال شهري مارس وأبريل 2026. كما أشار المركز إلى أن نفس الجهة المهاجمة استهدفت في السابق ممثلين عن قوات الدفاع الأوكرانية ومشغلي طائرات FPV.
آلية التخفي والانتشار
في إحدى الحالات الموثقة في 10 مارس 2026، تم توزيع أرشيف باسم “bachu.zip” عبر تطبيق Signal، متظاهراً بأنه تحديث لبرنامج “BACHU” المستخدم من قبل مشغلي طائرات FPV. يحتوي الأرشيف على ملف DLL يقوم بتشغيل برمجية AGINGFLY الخبيثة عبر تقنية DLL side-loading.
كشفت دراسة لحوالي اثنتي عشرة حادثة سيبرانية أن نمط سرقة البيانات والاستطلاع الشبكي متسق في هذه الحملة. يعتمد المهاجمون على أداة CHROMELEVATOR لجمع بيانات المصادقة وبيانات الاعتماد الأخرى المخزنة في المتصفحات، بينما تُستخدم أداة ZAPIXDESK بشكل خاص لسرقة البيانات من تطبيق WhatsApp.
إلى جانب أدوات السرقة، تم استخدام ماسحات شبكية أساسية وأداة RUSTSCAN المتاحة للعامة لرسم خرائط للشبكات الداخلية. وفي بعض الحالات، تم نشر أدوات LIGOLO-NG و CHISEL لإنشاء أنفاق شبكية مخفية. وقد رصدت إحدى الحوادث استخدام XMRIG miner، تم تغليفه كملف DLL وتم تحميله عبر نسخة معدلة من برنامج WIREGUARD الشرعي.
تفاصيل برمجية AGINGFLY الخبيثة
تُعد AGINGFLY الأداة الرئيسية للوصول عن بعد المستخدمة في هذه الحملة، وهي مكتوبة بلغة C#. توفر للمهاجم مجموعة كاملة من إمكانيات التحكم عن بعد، بما في ذلك تنفيذ الأوامر، وتنزيل الملفات، والتقاط لقطات الشاشة، وتفعيل مسجل ضربات المفاتيح، وتنفيذ الأكواد في الذاكرة.
ما يميز AGINGFLY عن الأدوات المشابهة هو أن معالجات الأوامر الخاصة بها لا تكون مدمجة في البرمجية نفسها. بدلاً من ذلك، يتم تنزيلها من خادم الأوامر والتحكم (C2) كشفرة مصدرية وتجميعها فورياً داخل النظام المخترق.
يتم الاتصال بخادم C2 عبر WebSockets، ويتم تشفير جميع حركة المرور باستخدام خوارزمية AES-CBC بمفتاح ثابت.
للحفاظ على استمرارية التواجد، تستخدم الحملة أيضاً سكربت PowerShell يسمى SILENTLOOP، والذي يقوم بتشغيل الأوامر تلقائياً، وتحديث تكوينه، واسترداد أحدث عنوان IP لخادم C2 من قناة Telegram. إذا فشل مصدر Telegram الأساسي، يدعم SILENTLOOP آليات احتياطية للعثور على عنوان C2.
يستخدم مرحلة الوصول الأولية إما TCP reverse shell أو RAVENSHELL، مما يؤسس اتصال TCP مشفر باستخدام مفتاح XOR ذي 9 بايت ويتواصل مع خادم الإدارة عبر CMD.
يوصي مركز CERT-UA المنظمات بتقليل تعرضها عن طريق تقييد تنفيذ ملفات LNK و HTA و JS على أنظمة نقاط النهاية. ويجب على المسؤولين أيضاً الحد من استخدام الأدوات المساعدة الشرعية مثل mshta.exe و powershell.exe و wscript.exe، والتي تستغلها هذه الحملة بنشاط.
تتوافق هذه القيود مع الممارسات القياسية لتقليل سطح الهجوم المدمجة في نظام التشغيل ولا تتطلب أدوات خارجية لتنفيذها.