تستهدف مجموعة قرصنة خطيرة مدعومة من دول، معروفة باسم APT-C-13، خوادم بروتوكول سطح المكتب البعيد (RDP) بشكل نشط في البنية التحتية الحيوية والمؤسسات الدفاعية والحكومية.
يُعرف هذا المهاجم المتقدم (APT) أيضاً بأسماء مثل Sandworm و APT44 و Seashell Blizzard و Voodoo Bear، ويشن عمليات سيبرانية منذ عام 2009 على الأقل. إلا أن حملته الأخيرة تشكل تحولاً استراتيجياً ملحوظاً، حيث تتخلى عن الهجمات المدمرة السريعة لصالح التسلل طويل الأمد والهادئ بهدف جمع المعلومات الاستخباراتية على فترات طويلة.
تفاصيل الحملة وهدفها
تبدأ الحملة عبر ملف ISO مموه يحمل اسم Microsoft.Office.2025×64.v2025.iso، ويتم توزيعه عبر قنوات Telegram ومجتمعات كسر حماية البرامج في أوكرانيا. عند قيام الضحية بتركيب الملف ومحاولة تثبيت أو تنشيط ما يبدو أنه Microsoft Office، تنطلق برامج تنفيذية مخفية بشكل صامت في الخلفية، وتمويه كـ auto.exe أو setup.exe. يعتمد هذا الأسلوب الهندسي الاجتماعي على ثقة المستخدمين في أسماء البرامج المألوفة.
مباشرة بعد التشغيل، يقوم البرنامج المحدد للملفات بإعداد النظام المستهدف ومن ثم نشر وحدات برمجية خبيثة إضافية بشكل انتقائي. وجد محللون من مركز 360 لأبحاث التهديدات أن APT-C-13 تقوم بنشر إطار عمل اختراق معياري يُعرف بسلسلة Tambur/Sumbur/Kalambur. يصف الباحثون التحول العام للمجموعة بأنه انتقال من “التعطيل الفوري” إلى “التطفل المستمر المدفوع بالمعلومات الاستخباراتية”، وهو تطور محسوب لوحظ بين عامي 2024 و 2026.
إحدى الضحايا المؤكدة كانت فنية في مصنع أوكراني مملوك للدولة متخصص في بناء السفن وتصنيع الآليات، حيث نجح المهاجمون بالفعل في تأسيس وصول سري وعميق إلى أنظمتها. يكمن الخطر الأكبر في أن الهجوم يعتمد بشكل أساسي على أدوات Windows الشرعية، بما في ذلك المهام المجدولة، SSH، PowerShell، و RDP، مما يجعل برامج مكافحة الفيروسات القياسية غير قادرة على اكتشاف التهديد.
استراتيجيات الثبات والتخفي
تبحث المجموعة عن الثبات داخل الأنظمة المستهدفة دون عجلة، وتقضي شهوراً لاستخلاص البيانات الحساسة تدريجياً من بيئة الثقة بالمؤسسة. وعندما تدرك معظم المؤسسات بوجود مشكلة، قد يكون المهاجمون قد حققوا بالفعل أهدافهم.
استغلال RDP والأنفاق السرية لبناء الثبات
إن الجانب التقني الأكثر إثارة للقلق في هذه الحملة هو كيفية تمكن المهاجمين من البقاء مختفين لفترات طويلة. تقوم وحدة Tambur بتأسيس وجود دائم عن طريق إنشاء مهام مجدولة باسم “Tambur” و “Protector” داخل المسار “MicrosoftWindowsWDIProtector”، وهو موقع مصمم ليبدو تماماً كجزء من البنية التحتية لتشخيص Windows الأصلية. تعمل هذه المهام بصلاحيات المسؤول الكاملة وتستخدم كلمة مرور ثابتة (1qaz@WSX) للحفاظ على وصول مستمر وبدون انقطاع إلى خدمة RDP على الجهاز المصاب.
تعمل وحدات Kalambur و Sumbur على توسيع نطاق هذا التحكم بشكل أكبر عن طريق توجيه جميع حركة مرور القيادة والتحكم (C2) عبر شبكة Tor المجهولة، مما يخفي بدقة موقع المهاجم الحقيقي. باستخدام أنفاق SSH العكسية، يقوم المهاجم بربط منفذ RDP الخاص بالضحية (3389) بخادم C2 بعيد، مما يتيح تسجيل الدخول عن بعد سراً من أي مكان في العالم.
تقوم Sumbur، وهي النسخة الأكثر تطوراً من هذا الإطار، بتقليد خدمة تحديث Microsoft Edge، حيث تخزن ملفات VBScript خبيثة في دليل تحديث Edge وهمي وتُشغّلها كل أربع ساعات للاندماج بسلاسة مع نشاط البرامج العادي. تكمل وحدة DemiMur الهجوم عن طريق حقن شهادة جذرية مزورة (DemiMurCA.crt) في مخزن الشهادات الموثوق به للنظام. من هذه النقطة، تعالج Windows جميع الأدوات الخبيثة اللاحقة على أنها موثوقة وموقعة بشكل كامل.
عندما يتم دمج ذلك مع فرض استثناءات Microsoft Defender التي تغطي محرك الأقراص C بالكامل، يتم تحييد طبقة الأمان الأصلية للمضيف تماماً، مما يمنح المهاجمين بيئة تشغيل نظيفة وغير مكتشفة. يجب على المؤسسات منع أدوات التنشيط الخارجية وصور ISO غير المصرح بها فوراً من دخول شبكاتها، حيث إنها تمثل القناة الأساسية لتوزيع هذا الهجوم. يجب مراقبة سلوك الشبكة الداخلية عن كثب، بما في ذلك إنشاء المهام المجدولة، وتعديلات السجل، وتنفيذ PowerShell، بحثاً عن علامات التلاعب.
يجب تحديث أمان نقاط النهاية بالكامل مع إجراء فحوصات شاملة ومنتظمة. ينبغي للمؤسسات الرئيسية والمؤسسات الصناعية أيضاً تعزيز ممارسات التدقيق الداخلي وبناء قواعد اكتشاف محددة تستهدف نشاط RDP و SSH الشاذ لمنع سرقة المعلومات الاستخباراتية طويلة الأمد.