شنّت مجموعة قراصنة تُعرف باسم “Bloody Wolf” وهجومًا متطورًا يستهدف عددًا من المؤسسات في روسيا وأوزبكستان، بهدف نشر برامج تجسس والسيطرة عن بعد على الأنظمة. تأتي هذه الهجمات في ظل تصاعد التهديدات السيبرانية التي تستهدف القطاعات الحيوية.
تنشط هذه المجموعة، التي يُطلق عليها أيضًا اسم “Stan Ghouls”، منذ العام الماضي على الأقل، وتركز بشكل كبير على قطاعات الصناعة والمال وتكنولوجيا المعلومات. وفي حين كانت المجموعة تفضل سابقًا استخدام برامج الوصول عن بعد المعروفة بـ STRRAT، كشفت حملاتها الأخيرة عن تحول تكتيكي نحو إساءة استخدام البرامج المشروعة.
ومن خلال نشر “NetSupport Manager”، وهي أداة إدارة عن بعد شرعية، تسعى المجموعة إلى التمويه بين الأنشطة الإدارية المصرح بها، مما يجعل عملية الكشف عنها أكثر صعوبة بالنسبة لفرق الأمن.
هجمات Bloody Wolf الإلكترونية تستهدف الوصول عن بعد
تبدأ سلسلة الهجمات عادةً برسائل بريد إلكتروني متطورة وموجهة خصيصًا، مكتوبة بلغات محلية مثل الأوزبكية. تتظاهر هذه الرسائل بأنها إشعارات رسمية حكومية أو قانونية لإضفاء طابع الاستعجال على المتلقي.
تتضمن هذه الرسائل مرفقات عبارة عن ملفات PDF خبيثة تحتوي على روابط تقود المستخدم إلى المرحلة التالية من الهجوم. عند النقر على هذه الروابط، يقوم الضحايا دون علمهم بتنزيل برنامج تحميل مخصص يعتمد على لغة جافا.
يعمل هذا البرنامج كجسر، يقوم بجلب الحمولة النهائية وإنشاء موطئ قدم للمهاجمين داخل الشبكة المخترقة.
آلية الإصابة واستمرارية الهجوم
بعد الاكتشاف الأولي لهذه الاختراقات، قام محللو “Securelist” بتحديد أنماط مميزة في البنية التحتية للمجموعة. لاحظ الباحثون أن “Bloody Wolf” تقوم بتحديث نطاقات القيادة والتحكم الخاصة بها بشكل متكرر، وتسجيل نطاقات جديدة لكل حملة محددة لتجنب قوائم الحظر.
يسمح لها هذا التناوب السريع للبنية التحتية بالحفاظ على معدل مرتفع من الإصابات الناجحة، حيث تم تحديد ما يقرب من ستين ضحية مميزين في الموجة الأخيرة وحدها.
إن الجانب الأكثر تميزًا في هذه الحملة هو سلوك برنامج التحميل الخبيث بمجرد تنفيذه. لإلهاء الضحية، يعرض البرنامج الضار فورًا نافذة خطأ وهمية.
تدعي الرسالة بشكل خاطئ أن التطبيق لا يمكن تشغيله على نظام التشغيل الحالي، مما يخدع المستخدم ويعتقد أن الملف معطوب ببساطة. في الواقع، يتحقق برنامج التحميل بصمت من البيئة ويقوم بتنزيل مكونات NetSupport RAT من خادم بعيد.
يتضمن البرنامج حتى آلية إنهاء في حال فشله في التثبيت ثلاث مرات، وذلك لتجنب التحليل من قبل صناديق الأمان. بمجرد وضع الملفات في مكانها، يعمل البرنامج الضار على تأسيس أساليب استمرارية بشكل عدواني باستخدام ثلاث طرق متكررة.
يقوم بإسقاط ملف دفعي باسم “SoliqUZ_Run.bat” في مجلد بدء تشغيل ويندوز، ويضيف أمر تشغيل إلى مفتاح Run في السجل، وينشئ مهمة مجدولة. تضمن هذه الآليات تنفيذ أداة الوصول عن بعد تلقائيًا في كل مرة يسجل فيها المستخدم الدخول.
للتخفيف من هذه التهديدات، يجب على المؤسسات مراقبة أدوات سطح المكتب البعيد غير المصرح بها وتمحيص عمليات التنفيذ من مجلد بدء التشغيل.