كشفت تقارير أمنية حديثة عن حملة هجمات سيبرانية متطورة تستهدف المؤسسات المالية، حيث تمكنت من اختراق بيئات الشركات دون إثارة أي إنذارات أمنية تقليدية. هذه الهجمات، التي بدأت في منتصف يناير 2026، تميزت بقدرتها الفائقة على التخفي، مما سمح للمهاجمين بتجاوز الدفاعات المعتادة.
وسجلت الحملة نجاحاً في التسلل إلى شبكات الشركات، ولم تكتشف لا من قبل المستخدمين النهائيين ولا من قبل برامج حماية نقاط النهاية. هذه القدرة على العمل بصمت تثير قلقاً بالغاً خاصة في القطاعات التي تعتمد بشكل أساسي على سلامة البيانات والثقة التشغيلية.
حملة APT-Q-27 تستهدف نماذج هجوم جديدة
تمكنت التحقيقات الجنائية التي أجراها محللو CyStack من تتبع نقطة الدخول الأولية للهجوم إلى قسم دعم العملاء في إحدى الشركات المستهدفة. حيث قام أحد المستخدمين بالضغط على رابط خبيث وصل إليه عبر تذكرة دعم فني في نظام Zendesk.
وتم تصميم الرابط ليبدو وكأنه ملف صورة عادي، ولكنه في الواقع يقوم بتحميل ملف تنفيذي متنكر بلاحقة “.pif”. ولأن أنظمة تشغيل ويندوز تخفي غالباً امتدادات الملفات المعروفة بشكل افتراضي، فقد بدا الملف الخبيث وكأنه صورة أو مستند عادي، مما قلل من الشك لدى المستخدم.
وأكد المحللون أن البنية التحتية للقيادة والتحكم المستخدمة في هذه الحملة، بالإضافة إلى تصميمها المعياري للخلفية الخبيثة، تظهر تداخلات كبيرة مع أنشطة سابقة تم نسبها لمجموعة APT-Q-27، المعروفة أيضاً باسم GoldenEyeDog. وقد استخدمت البرمجيات الخبيثة توقيعاً رقمياً صالحاً، ولكنه كان قد تم إلغاؤه، من شركة “Portier Global Pty Ltd.”.
التخفي عبر تحميل DLL الجانبي
يُعد استخدام تقنيات التخفي المتقدمة، وخاصة تحميل مكتبات الارتباط الديناميكي (DLL) بشكل جانبي، من السمات الرئيسية لهذه الحملة. عند الإصابة، يقوم البرنامج المبدئي بإنشاء مجلد تخزين مؤقت مصمم ليبدو كمسار مجلد تحديثات ويندوز، مما يساعده على الاندماج مع مجلدات النظام الشرعية.
داخل هذا المجلد المخفي، يتم استخدام ملف تنفيذي تم توقيعه بشكل قانوني ليبدأ بتحميل ملف DLL خبيث يحمل اسم crashreport.dll. تسمح هذه التقنية للمهاجمين بتنفيذ حمولتهم النهائية بالكامل داخل ذاكرة الكمبيوتر، دون ترك أثر يمكن اكتشافه على القرص الصلب.
من خلال العمل ضمن سياق عملية موثوقة، يمكن لهذه الخلفية الخبيثة استقبال الأوامر وتنزيل وحدات إضافية، مع بقائها غير مرئية لمعظم أدوات الفحص المرتكزة على الملفات. وللتصدي لمثل هذه الاختراقات المتخفية، توصي CyStack المؤسسات بتعزيز جهود البحث الاستباقي عن التهديدات، مع التركيز على اكتشاف سلوكيات العمليات غير الطبيعية، مثل تحميل DLL غير متوقع.
كما تشدد على أهمية الحفاظ على جاهزية الاستجابة للحوادث لعزل الأنظمة المتأثرة بسرعة قبل حدوث الحركة الجانبية. بالإضافة إلى ذلك، ينبغي على المؤسسات نشر برامج حماية نقاط نهاية تركز على السلوك، بدلاً من الاعتماد فقط على التواقيع، والاستفادة من معلومات التهديدات السياقية لتحديد المؤشرات الخاصة بالحملات. وأخيراً، يعد فحص أسطح الهجوم غير التقليدية، مثل أنظمة التذاكر الفنية التي تزداد فيها هجمات الهندسة الاجتماعية، أمراً بالغ الأهمية لسد الثغرات الأمنية.