عملية BarrelFire تستهدف كازاخستان
أعلنت شركة Seqrite Labs عن اكتشاف مجموعة تهديد جديدة أطلقت عليها اسم Noisy Bear، نُسبت إليها حملة سيبرانية ضد قطاع الطاقة في كازاخستان منذ أبريل 2025. اعتمدت الحملة على رسائل تصيد موجهة لموظفي شركة النفط الوطنية KazMunaiGas (KMG)، تضمنت مرفقًا بامتداد ZIP يحوي اختصارًا (LNK) خبيثًا ووثيقة إغراء ورسالة تعليمات مزيفة.
الهجوم استغل حساب بريد إلكتروني مخترق لأحد موظفي قسم المالية في KMG لإرسال الملفات إلى باقي الموظفين في مايو 2025. سلسلة العدوى تضمنت تحميل برمجية خبيثة عبر PowerShell أطلق عليها اسم DOWNSHELL، وانتهت بزرع ملف DLL ضار قادر على فتح قناة عكسية (Reverse Shell) لتنفيذ أوامر عن بُعد.
البنية التحتية للهجوم
أشارت التحقيقات إلى أن البنية التحتية للمهاجمين استضافتها شركة Aeza Group الروسية، وهي مزود خدمات استضافة محمية (Bulletproof Hosting) تم فرض عقوبات أميركية عليها في يوليو 2025 بسبب دعمها للأنشطة الخبيثة.
أنشطة تهديد أخرى في أوكرانيا وبولندا
في الوقت نفسه، ربطت شركة HarfangLab مجموعة Ghostwriter (المعروفة أيضًا بـ UNC1151) بهجمات ضد أوكرانيا وبولندا، استُخدمت فيها أرشيفات ZIP وRAR لنشر ملفات Excel تحتوي على ماكرو VBA يقوم بتنزيل DLL خبيث لجمع معلومات النظام وزرع برمجيات إضافية.
تضمنت بعض الحملات استخدام منصة Slack كقناة للتواصل وسرقة البيانات، بل وحتى تحميل Cobalt Strike Beacon لتسهيل الاستغلال اللاحق.
روسيا أيضًا تحت الهجوم
لم تقتصر الهجمات على كازاخستان وأوروبا الشرقية، بل طالت روسيا نفسها:
-
مجموعة OldGremlin عاودت هجمات الفدية ضد شركات صناعية روسية مستخدمة تقنيات BYOVD لتعطيل برامج الحماية.
-
ظهور Phantom Stealer، وهو برمجية خبيثة مبنية على مشروع مفتوح المصدر (Stealerium) تستهدف جمع معلومات حساسة باستخدام طُعم عبر البريد الإلكتروني يتعلق بالمحتوى الإباحي والمدفوعات. يمتلك البرنامج وحدة “PornDetector” تلتقط صورًا عبر كاميرا الويب عند فتح مواقع إباحية، بهدف ابتزاز المستخدمين لاحقًا.
-
مجموعات مثل Cloud Atlas وScaly Wolf وPhantomCore استهدفت مؤسسات روسية باستخدام برمجيات مثل VBShower وPhantomRAT.
-
كما اكتُشف برمجية أندرويد خبيثة تنتحل صفة تطبيق أمني منسوب إلى جهاز الاستخبارات الروسي FSB. التطبيقات المزيفة مثل “SECURITY_FSB” و”GuardCB” تمكنت من سرقة بيانات من تطبيقات الرسائل والمتصفحات، تسجيل الضغطات، بث الكاميرا، ومنع حذف نفسها عبر صلاحيات مدير الجهاز وخدمات الوصول.
تُظهر هذه التطورات أن عام 2025 يشهد تصعيدًا في حروب الهجمات السيبرانية، مع انتقال الهجمات من استهداف البنية التحتية الحيوية في كازاخستان إلى الداخل الروسي. التهديدات لم تعد محصورة بالسرية بل تطورت لتشمل الابتزاز والبرمجيات الخبيثة الموجهة، مما يفرض على الحكومات والشركات تعزيز استراتيجيات الدفاع السيبراني لمواجهة هذه الموجة الجديدة.
