كشف خبراء الأمن السيبراني عن حملة قرصنة منظمة استهدفت كيانات حكومية وصحية وتعليمية في أوكرانيا، باستخدام موقع ويب مزيف لـ CERT-UA (فريق الاستجابة لطوارئ الحاسوب الوطني) لخداع الضحايا وتحميل برامج ضارة متقدمة. هذه الحملة، التي تم تتبعها تحت اسم UAC-0255، تسلط الضوء على تكتيكات التهديد المتطورة ضد البنية التحتية الحيوية.
بدأت الهجمات في أواخر مارس/آذار 2026، حيث تلقى العديد من العاملين في قطاعات مختلفة رسائل بريد إلكتروني تبدو وكأنها صادرة عن CERT-UA. هذه الرسائل حثت المستلمين على تحميل “أداة حماية” مفترض أنها خاصة، مخبأة داخل ملف مضغوط.
شملت القطاعات المستهدفة الوكالات الحكومية، المراكز الطبية، شركات الأمن، المؤسسات التعليمية، المنظمات المالية، وشركات تطوير البرمجيات. وقد تمكنت CERT-UA من تحديد الهوية الحقيقية للملف المحمل، حيث تبين أنه حصان طروادة للوصول عن بعد.
خداع متقن: موقع CERT-UA المزيف وأداة AGEWHEEZE
لتعزيز مصداقية الهجوم، أنشأ المهاجمون نطاقًا مزيفًا (cert-ua[.]tech) ونسخة طبق الأصل من موقع CERT-UA الرسمي. تم تصميم هذا الموقع ليشبه الموقع الأصلي إلى حد كبير، بما في ذلك روابط التحميل وتعليمات التثبيت.
وبحسب التحليل، فإن الملف التنفيذي المخفي داخل الأرشيف كان عبارة عن برنامج AGEWHEEZE، وهو برنامج ضار قوي للوصول عن بعد تم تطويره باستخدام لغة البرمجة Go. تم الربط بين خادم القيادة والتحكم (C2) الخاص بالبرنامج وشركة استضافة فرنسية.
تم إنشاء الشهادة الرقمية للموقع المزيف قبل ساعات قليلة من بدء انتشار رسائل البريد الإلكتروني، وتم إغلاق الصفحة بعد فترة وجيزة. جدير بالذكر أن المهاجمين تركوا رسالة داخل شفرة المصدر للموقع المزيف تحمل اسم “With Love, CYBER SERP” مع رابط لقناة على Telegram.
في اليوم التالي، أعلنت المجموعة عن مسؤوليتها عبر قناة Telegram، مما أكد هوية المهاجمين وساهم في تعيين معرف UAC-0255 للحملة. وبالرغم من هذا التكتيك المتقن، أكدت CERT-UA أن الهجوم لم ينتشر على نطاق واسع، واقتصر تأثيره على عدد قليل من الأجهزة الشخصية لموظفي المؤسسات التعليمية.
آلية عمل AGEWHEEZE وطرق البقاء
بعد تشغيل الملف التنفيذي، يقوم AGEWHEEZE بتثبيت نفسه في مجلد AppData، مستخدماً مسارات مثل %APPDATA%SysSvcSysSvc.exe. ثم يقوم بإنشاء إدخالات في سجل النظام وتنفيذ مهام مجدولة لضمان استمراريته حتى بعد إعادة تشغيل الجهاز.
توفر هذه الآليات للمهاجمين وصولاً مستقراً للنظام المصاب، مما يمكنهم من تنفيذ مجموعة واسعة من الإجراءات. تشمل قدرات AGEWHEEZE التقاط لقطات الشاشة، محاكاة إدخالات لوحة المفاتيح والفأرة، إدارة الملفات والعمليات، والتحكم في خدمات النظام.
قدرات متقدمة للمهاجم
يتيح برنامج AGEWHEEZE للمهاجمين أيضاً قراءة بيانات الحافظة، فتح عناوين URL، تنفيذ أوامر طرفية، وحتى التحكم في إجراءات الطاقة مثل إيقاف التشغيل أو إعادة التشغيل. تدير واجهة التحكم الخاصة بالبرنامج، والتي أطلق عليها المهاجمون “The Cult”، عملية القيادة والتحكم عن بعد.
أشارت النصوص المكتوبة باللغة الروسية الموجودة في شفرة المصدر لواجهة التحكم إلى هوية المجموعة التي تقف وراء العملية. وتؤكد CERT-UA على أهمية تأمين الأنظمة والتوعية لمواجهة مثل هذه التهديدات.
تنصح الجهات الأمنية المؤسسات بتطبيق أدوات التحكم في التطبيقات لمنع تشغيل الملفات التنفيذية غير المصرح بها، وتقليل سطح الهجوم على الشبكات والأجهزة. كما يجب توعية الموظفين بتوخي الحذر الشديد عند التعامل مع رسائل البريد الإلكتروني التي تحث على تحميل البرامج، خصوصاً إذا كانت تحمل طابعاً رسمياً.