تواصل مجموعات تهديد مدعومة من روسيا تعزيز عمليات التجسس السيبراني المتطورة ضد مؤسسات غربية، وذلك من خلال تكتيكات تصيد احتيالي متقدمة. وقد تم رصد مجموعة تُعرف باسم “كاليستو” (Calisto) التابعة لجهاز الأمن الفيدرالي الروسي، وهي تستهدف بشكل مستمر قطاعات أبحاث حلف شمال الأطلسي (الناتو) ومنظمات استراتيجية أخرى.
توسعت المجموعة مؤخراً لتشمل استهداف منظمات غير حكومية ومراكز أبحاث، مع التركيز على الدول الداعمة لأوكرانيا والدول في أوروبا الشرقية. تعتمد هذه الحملات الخبيثة على أساليب الهندسة الاجتماعية بالاقتران مع تقنية “كليك فيكس” (ClickFix) الخبيثة، التي تهدف إلى التلاعب بالمستخدمين لدفعهم إلى اتخاذ إجراءات تعرض أمنهم للخطر.
حملات التصيد الاحتيالي المتقدمة لمجموعة كاليستو
تعتمد الهجمات على رسائل بريد إلكتروني مصممة بعناية فائقة، تنتحل صفة جهات اتصال موثوقة. تستخدم هذه الرسائل تقنيات الإقناع النفسي لخداع الضحايا لتحميل ملفات خبيثة أو زيارة مواقع إلكترونية مخترقة.
وقد حدد محللو الأمن في سيكويا (Sekoia) هذا البرنامج الضار بعد ملاحظة هجمات منسقة استهدفت أهدافاً ذات قيمة عالية. فقد استخدمت المجموعة رسائل بريد إلكتروني احتيالية تتضمن مرفقات مفقودة أو ملفات PDF معطلة، مما يدفع الضحايا إلى طلب إعادة إرسالها.
بعد الدخول في مراسلات، يقوم المهاجمون بتسليم حمولات خبيثة عبر روابط يتم إعادة توجيهها، وتستضيفها مواقع إلكترونية مخترقة. هذا النهج متعدد المراحل يزيد من مصداقية الهجوم مع الحفاظ على أمن العمليات للمهاجمين.
آلية التضليل والتوجيه
يكشف البنية التحتية التقنية المستخدمة عن سلاسل هجوم متطورة. تستخدم أدوات إعادة توجيه التصيد الإلكتروني نصوص PHP البرمجية المنشورة على خوادم مخترقة، وتقبل معلمات رمزية عبر طلبات GET تشبه رموز التتبع القياسية.
عند تفعيلها، تعيد البرمجيات الخبيثة المستخدمين إلى بوابات لسرقة بيانات الاعتماد. تستهدف مجموعة أدوات التصيد الاحتيالي المخصصة، المستضافة على حساب.simpleasip[.]org، حسابات بروتون ميل (ProtonMail) بشكل خاص من خلال تقنية “المهاجم في الوسط” (Adversary-in-the-Middle).
تكتيكات اختراق واستمرارية
عند التقاط بيانات الاعتماد بنجاح، تحاول أداة التصيد الاحتيالي جلب نقاط النهاية الصالحة من بنية بروتون ميل التحتية للحفاظ على مظهر شرعي.
يستخدم المهاجمون خدمات الوكيل، حيث تكشف السجلات عن وصول من عنوان IP 196.44.117[.]196 المرتبط بخدمة Big Mama Proxy. وتوضح التحليلات للبنية التحتية تطوراً مستمراً في أنماط الهجوم.
تسجل مجموعة كاليستو نطاقات عبر مسجلين متعددين، بدءاً من Regway قبل الانتقال إلى الخوادم الموثوقة المجانية والقياسية لـ Namecheap، مما يسمح لمحللي استخبارات التهديدات بتتبع حملات الهجوم وربطها بثقة متوسطة.
على الرغم من الكشوفات العامة المكثفة، تواصل كاليستو توسيع عمليات التصيد الاحتيالي التي تستهدف داعمي أوكرانيا. تظل المنظمات المشاركة في العمل الإنساني، والدفاع عن حرية الصحافة، والأبحاث الاستراتيجية هي الأهداف الرئيسية، بما يتماشى مع أولويات الاستخبارات الروسية، مما يؤكد على استمرارية تهديد التصيد الاحتيالي من قبل هذه المجموعة.
تُظهر هذه الحملات التقدم المستمر في تكتيكات الجهات الفاعلة في التهديدات السيبرانية، وحاجتها الملحة لتعزيز الدفاعات الرقمية للمؤسسات الحيوية.