تستخدم مجموعة توميريس للتجسس السيبراني الناطقة بالروسية أدوات وتقنيات هجوم جديدة تستهدف وزارات الخارجية والكيانات الحكومية.
تستخدم مجموعة توميريس للتجسس السيبراني الناطقة بالروسية أدوات وتقنيات هجوم جديدة في حملة مستمرة تستهدف وزارات الخارجية والمنظمات الحكومية والكيانات الحكومية عبر دول رابطة الدول المستقلة (CIS).
حدد باحثو كاسبرسكي، الذين يتابعون أنشطة هذا الفاعل منذ عام 2021، العمليات الخبيثة الجديدة التي بدأت في أوائل عام 2025، ووصفوها بأنها تؤثر على البنية التحتية الدبلوماسية والسياسية ذات القيمة العالية.
تغيرات تكتيكية لتوميريس
تتميز الهجمات بتحولين تكتيكيين رئيسيين، وفقًا لكاسبرسكي. أولاً، بدأت توميريس بتوجيه حركة المرور الخاصة بالتحكم والقيادة (C2) عبر منصات المراسلة الشهيرة مثل تيليجرام وديisكورد لدمج الأنشطة الخبيثة مع الاستخدام الشرعي للشبكة.
ثانيًا، تقوم المجموعة الآن بنشر البرمجيات الخبيثة عبر لغات برمجة متعددة لتعزيز التكيف والسرية. تستخدم توميريس البرمجيات المكتوبة بلغة Go وRust وC وC++ وC# وPython ولغات أخرى لنشر حمولات المرحلة الثانية على الأنظمة المخترقة. عادةً ما تكون هذه الحمولات هي Havoc أو AdaptixC2، وهي أطر عمل C2 مفتوحة المصدر يستخدمها المهاجمون لتمكين السيطرة المباشرة على الأنظمة المصابة.
“توضح التطورات في التكتيكات تركيز الفاعل على السرية، والاستمرارية طويلة الأمد، والاستهداف الاستراتيجي للمنظمات الحكومية والدولية،” كما قال كاسبرسكي في منشور مدونة حديث. “تسليط الضوء على استخدام الخدمات العامة للاتصالات C2 والبرمجيات متعددة اللغات يبرز الحاجة إلى استراتيجيات كشف متقدمة، مثل تحليل السلوك وفحص حركة المرور الشبكية، لتحديد وتخفيف هذه التهديدات بشكل فعال.”
تعتبر توميريس مجموعة تهديد مستمر متقدمة (APT) تركز على سرقة الوثائق الداخلية من الكيانات الحكومية والدبلوماسية عبر دول رابطة الدول المستقلة وآسيا الوسطى. تشتهر المجموعة بإصرارها بدلاً من تعقيدها، حيث تعيد استخدام البرمجيات الخبيثة “المؤقتة” المكتوبة بلغات مثل Go و.NET حتى تنجح إحدى النسخ في تجاوز دفاعات الأمان على الأنظمة المستهدفة. إن نهج الفاعل القائم على القوة الغاشمة واهتمامه المحدود بالسرية التشغيلية يجعل توميريس مختلفًا بعض الشيء عن مجموعات APT المدعومة من الدول الأكثر حذرًا، لكنها تظل خطيرة على أي حال، وفقًا لكاسبرسكي.
في العمليات السابقة، نشرت توميريس بعض أدوات البرمجيات الخبيثة نفسها المستخدمة من قبل مجموعة تورلا، وهي مجموعة تهديد مرتبطة بجهاز الأمن الفيدرالي الروسي، مما يثير تساؤلات حول تبادل الأدوات أو التعاون بين الكيانين. ولكن على الرغم من هذه التداخلات، قيم كاسبرسكي أن توميريس وتورلا هما كيانان منفصلان بناءً على أولويات الاستهداف وأساليب التشغيل المختلفة.
سلسلة العدوى وتحديات الكشف
تبدأ سلسلة العدوى لتوميريس في الحملة المستمرة، كما في الحملات السابقة، برسائل تصيد تحتوي على أرشيفات محمية بكلمة مرور، وغالبًا ما تكون كلمات المرور مضمنة في نص الرسالة. تحتوي الأرشيفات على برامج تنفيذية خبيثة تتنكر كوثائق شرعية من خلال تلاعب في أسماء الملفات، بما في ذلك امتدادات وثائق مزيفة تليها مسافات فارغة عديدة تخفي الامتداد التنفيذي الفعلي عندما يقوم الضحايا بمعاينة الملف.
أكثر من نصف رسائل البريد الإلكتروني الخبيثة والمستندات الجذابة التي حللها كاسبرسكي كانت مكتوبة باللغة الروسية وتحتوي على محتوى ذو طابع روسي، مما يشير إلى التركيز الرئيسي للمجموعة على الأهداف الناطقة بالروسية، وفقًا لكاسبرسكي. في بعض الحالات، وجد كاسبرسكي أن توميريس تستهدف ضحايا في تركمانستان وقيرغيزستان وطاجيكستان وأوزبكستان مع تخصيص محتوى الهجمات بلغة كل دولة.
تشمل البرمجيات الخبيثة التي تستخدمها توميريس أداة واحدة مكتوبة بلغة Rust يمكنها تلقائيًا جمع معلومات النظام، والبحث عن مستندات وصور معينة ذات امتدادات شائعة مثل .pdf و.jpg، وإرسال البيانات إلى خوادم ديisكورد التي يتحكم بها المهاجمون. أداة أخرى، مكتوبة بلغة Python، تجمع بنشاط الملفات المطابقة لأنواع معينة، وتضغطها في أرشيف واحد، وتحمل الحزمة إلى خوادم C2.
تمكن مكونات الباب الخلفي الأخرى المهاجمين من تنفيذ أوامر عن بُعد على الأنظمة المصابة، وتحميل وتنزيل الملفات، وإيقاف العمليات الجارية. اكتشف كاسبرسكي أيضًا أن ممثلي توميريس يستخدمون أدوات بروكسي متخصصة للقيام، من بين أمور أخرى، بالتنقل من نظام مصاب إلى أجهزة كمبيوتر أخرى داخل بيئة الضحية.
يمكن أن تشكل التكتيك المتزايد شعبية لاستخدام منصات شرعية مثل تيليجرام وديisكورد للاتصالات C2 وتوزيع البرمجيات الخبيثة تحديات كبيرة في الكشف لفرق الأمان المؤسسية والمدافعين الآخرين. غالبًا ما يتم إدراج هذه الخدمات في القائمة البيضاء في البيئات المؤسسية لأن الموظفين يستخدمونها لأغراض التعاون والتواصل. يتطلب اكتشاف الإساءة عادةً استثمارات في قدرات فحص حركة المرور العميقة، وأدوات تحليل السلوك.
تتطلب الاستجابة لهذه التهديدات المتطورة استراتيجيات كشف متقدمة لضمان أمان الأنظمة.
