التهديدات المتقدمة تشن هجمات سيبرانية متطورة عبر الإنترنت على جهات حكومية هندية
شنت جهات إرهابية تهديدية متقدمة، يُعتقد أنها تعمل من باكستان، هجمات سيبرانية منسقة ضد منظمات حكومية هندية مستخدمة أدوات وبرمجيات خبيثة مكتشفة حديثاً، مصممة لتجاوز الدفاعات الأمنية. كشفت التحقيقات عن حملة تجسس إلكتروني جديدة تحمل اسم “Gopher Strike”، والتي بدأت في سبتمبر 2025.
وتشير هذه الحملة إلى تصعيد كبير في العمليات السيبرانية المستهدفة للبنية التحتية الحكومية الحساسة. وتعكس الهجمات المنسقة التطور المتزايد في القدرات التقنية والإجرائية للجهات الفاعلة التي ترعاها الدول.
هجوم “Gopher Strike” يستغل الثغرات وتكتيكات الهندسة الاجتماعية
يبدأ مسار الهجوم بسلسلة من رسائل البريد الإلكتروني المصقولة، والتي تحتوي على مستندات PDF مضللة تنتحل صفة اتصالات حكومية رسمية. تعرض هذه المستندات صوراً ضبابية لوثائق رسمية، وتستخدم تكتيكات الهندسة الاجتماعية المخادعة لدفع المتلقين إلى تنزيل ملف ISO.
يتم إغراء المستخدمين بالنقر على زر يحمل عبارة “تنزيل وتثبيت”، الذي يبدو وكأنه يطلب تحديثاً مزيفاً لبرنامج Adobe Acrobat. يبقى ملف ISO الخبيث خاملاً حتى يتم تفعيله، ويحتوي على برمجيات خبيثة مخفية تهدف إلى إنشاء وجود مستمر في الأنظمة المخترقة.
أدوات مبتكرة في خدمة الهجوم
يعتمد آلية العدوى على ثلاث أدوات مخصصة مكتوبة بلغة Golang، تعمل بتناغم لإنشاء سيطرة على الأجهزة المستهدفة. حدد محللو و باحثو Zscaler أداة GOGITTER كعنصر تنزيل أولي، تقوم بجلب الحمولات الإضافية من مستودعات GitHub التي يتحكم بها المهاجمون، مستخدمة رموز مصادقة مضمنة.
بمجرد النشر، تقوم GOGITTER بإنشاء ملف VBScript يسمى windows_api.vbs. يقوم هذا الملف بالاتصال بشكل مستمر بخوادم القيادة والتحكم كل 30 ثانية، بحثاً عن تعليمات جديدة لتنفيذها على الجهاز المصاب.
آلية استمرارية مبتكرة عبر GitHub
تمثل أداة GITSHELLPAD العنصر الأكثر تميزاً في الحملة، وتعمل كباب خلفي خفيف الوزن يستفيد من مستودعات GitHub الخاصة لجميع اتصالات القيادة والتحكم. يسمح هذا النهج للمهاجم بإخفاء حركة المرور الخبيثة ضمن نشاط GitHub الذي يبدو شرعياً، مما يجعل اكتشافه أكثر صعوبة لأدوات المراقبة الأمنية.
بعد الإصابة، تقوم GITSHELLPAD بتسجيل الضحية عن طريق إنشاء دليل جديد في المستودع الخاص للمهاجم، بتنسيق SYSTEM-[اسم_الجهاز]. ثم تضيف ملف info.txt يحتوي على معلومات النظام المشفرة بتنسيق Base64 حول الجهاز المخترق.
يقوم الباب الخلفي بالتحقق من واجهة برمجة تطبيقات GitHub كل 15 ثانية بحثاً عن تعليمات جديدة مخزنة في ملف command.txt، مما يسمح للمشغلين بتنفيذ أوامر استطلاع عن بعد، أو تنزيل أدوات إضافية، أو تجهيز عمليات نشر برمجيات خبيثة إضافية.
يُعد هذا التصميم فعالاً بشكل خاص لأنه يتجنب المؤشرات الشبكية التقليدية مع الحفاظ على اتصال موثوق للطرفين عبر خدمة تثق بها ملايين المنظمات بالفعل وتعتمدها لأغراض التطوير المشروعة.
تتضمن المرحلة النهائية نشر Cobalt Strike Beacon عبر GOSHELL، وهو مُحمّل shellcode مخصص يعمل فقط على الأجهزة ذات أسماء المضيفين الثابتة والمحددة، مما يقيد الحمولات إلى الأهداف المقصودة. يتابع باحثو الأمن هذه التهديدات المتطورة لحماية شبكات الحكومة من الهجمات المستقبلية.