حملة جديدة من البرمجيات الخبيثة COLDRIVER تنضم إلى فريق BO وBearlyfy في الهجمات الإلكترونية المستهدفة لروسيا
تمت نسبة مجموعة التهديد المستمر المتقدم (APT) الروسية المعروفة باسم COLDRIVER إلى جولة جديدة من الهجمات على نمط ClickFix، والتي تهدف إلى توصيل عائلتين جديدتين من البرمجيات الخبيثة الخفيفة المعروفة باسم BAITSWITCH وSIMPLEFIX.
وصف مختبر تهديدات Zscaler، الذي اكتشف الحملة الجديدة متعددة المراحل ClickFix في وقت سابق من هذا الشهر، BAITSWITCH كونه محملًا يقوم في النهاية بتنزيل SIMPLEFIX، وهو باب خلفي يعمل عبر PowerShell.
تُعرف COLDRIVER أيضًا باسم Callisto وStar Blizzard وUNC4057، وهي التسمية المعطاة لفاعل تهديد مرتبط بروسيا والذي يستهدف مجموعة واسعة من القطاعات منذ عام 2019. بينما تم ملاحظة موجات الحملة المبكرة باستخدام طُعم التصيد الاحتيالي لتوجيه الأهداف إلى صفحات جمع بيانات الاعتماد، فقد قامت المجموعة بتوسيع ترسانتها بأدوات مخصصة مثل SPICA وLOSTKEYS، مما يبرز تعقيدها التقني.
تم توثيق استخدام الخصم لتكتيكات ClickFix سابقًا من قبل مجموعة Google Intelligence Threat (GTIG) في مايو 2025، باستخدام مواقع مزيفة تقدم مطالبات تحقق CAPTCHA مزيفة لخداع الضحية لتنفيذ أمر PowerShell مصمم لتوصيل برنامج LOSTKEYS Visual Basic.
“تشير الاستمرار في استخدام ClickFix إلى أنه يعتبر وسيلة فعالة للإصابة، حتى لو لم تكن جديدة أو متقدمة تقنيًا”، قال باحثو الأمان في Zscaler Sudeep Singh وYin Hong Chang في تقرير نشر هذا الأسبوع.
تتبع سلسلة الهجمات الأخيرة نفس الأسلوب، حيث تخدع المستخدمين غير المشتبه بهم لتشغيل DLL ضار في مربع حوار تشغيل Windows تحت ستار إكمال تحقق CAPTCHA. تصل DLL، BAITSWITCH، إلى نطاق يتحكم فيه المهاجم (“captchanom[.]top”) لجلب الباب الخلفي SIMPLEFIX، بينما يتم تقديم مستند خداعي مستضاف على Google Drive للضحايا.
كما تقوم بعدة طلبات HTTP إلى نفس الخادم لإرسال معلومات النظام، واستقبال الأوامر لإنشاء الاستمرارية، وتخزين الحمولة المشفرة في سجل Windows، وتنزيل محمل PowerShell، ومسح الأمر الأخير المنفذ في مربع الحوار، مما يمحو آثار هجوم ClickFix الذي تسبب في الإصابة.
يصل محمل PowerShell الذي تم تنزيله لاحقًا إلى خادم خارجي (“southprovesolutions[.]com”) لتنزيل SIMPLEFIX، والذي بدوره يقيم اتصالًا مع خادم القيادة والتحكم (C2) لتشغيل سكريبتات PowerShell والأوامر والملفات التنفيذية المستضافة على عناوين URL بعيدة.
واحدة من سكريبتات PowerShell المنفذة عبر SIMPLEFIX تقوم باستخراج معلومات حول قائمة ثابتة من أنواع الملفات الموجودة في قائمة مجلدات مُعدة مسبقًا. تتداخل قائمة المجلدات وامتدادات الملفات الممسوحة مع تلك الخاصة بـ LOSTKEYS.
“تُعرف مجموعة APT COLDRIVER باستهداف أعضاء المنظمات غير الحكومية، والمدافعين عن حقوق الإنسان، ومراكز الفكر في المناطق الغربية، بالإضافة إلى الأفراد المنفيين والمقيمين في روسيا”، قالت Zscaler. “يتماشى تركيز هذه الحملة بشكل وثيق مع ضحاياها، الذين يستهدفون أعضاء المجتمع المدني المرتبطين بروسيا.”
فريق BO وBearlyfy يستهدفان روسيا
تأتي هذه التطورات في الوقت الذي قالت فيه Kaspersky إنها رصدت حملة تصيد جديدة تستهدف الشركات الروسية في أوائل سبتمبر، والتي قامت بها مجموعة BO Team (المعروفة أيضًا باسم Black Owl وHoody Hyena وLifting Zmiy) باستخدام أرشيفات RAR محمية بكلمة مرور لتوصيل نسخة جديدة من BrockenDoor المعاد كتابتها بلغة C# ونسخة محدثة من ZeronetKit.
تأتي باب خلفي بلغة Golang، ZeronetKit، مزودة بقدرات لدعم الوصول عن بُعد إلى الأنظمة المخترقة، وتحميل/تنزيل الملفات، وتنفيذ الأوامر باستخدام cmd.exe، وإنشاء نفق TCP/IPv4. تشمل النسخ الأحدث أيضًا دعمًا لتنزيل وتشغيل shellcode، بالإضافة إلى تحديث فترة الاتصال مع C2 وتعديل قائمة خوادم C2.
“لا يمكن لـ ZeronetKit أن تستمر بشكل مستقل على نظام مصاب، لذا يستخدم المهاجمون BrockenDoor لنسخ الباب الخلفي الذي تم تنزيله إلى بدء التشغيل”، قالت شركة الأمن السيبراني الروسية.
كما يتبع ذلك ظهور مجموعة جديدة تُدعى Bearlyfy التي استخدمت سلالات الفدية مثل LockBit 3.0 وBabuk في هجمات تستهدف روسيا، حيث بدأت في البداية بالهجوم على شركات أصغر للحصول على فديات صغيرة قبل الانتقال إلى شركات أكبر في البلاد بدءًا من أبريل 2025، وفقًا لـ F6. اعتبارًا من أغسطس 2025، يُقدر أن المجموعة قد ادعت ما لا يقل عن 30 ضحية.
في إحدى الحوادث التي استهدفت شركة استشارية، تم ملاحظة المهاجمين وهم يستغلون نسخة ضعيفة من Bitrix للوصول الأولي، تليها استخدام ثغرة Zerologon لتصعيد الامتيازات. في حالة أخرى تم ملاحظتها في يوليو، يُقال إن الوصول الأولي تم تسهيله من خلال شركة شريكة غير مسماة.
“في أحدث هجوم مسجل، طلب المهاجمون 80,000 يورو في شكل عملة مشفرة، بينما في الهجوم الأول، كانت الفدية عدة آلاف من الدولارات”، قال باحثو F6. “نظرًا لمبالغ الفدية المنخفضة نسبيًا، يشتري كل خامس ضحية تقريبًا مفاتيح فك التشفير من المهاجمين.”
يُعتقد أن Bearlyfy نشطة منذ يناير 2025، مع تحليل أعمق لأدواتها يكشف عن تداخل البنية التحتية مع مجموعة تهديدات يُحتمل أن تكون موالية لأوكرانيا تُدعى PhantomCore، والتي لديها سجل من استهداف الشركات الروسية والبيلاروسية منذ عام 2022. على الرغم من هذه التشابهات، يُعتقد أن Bearlyfy كيان مستقل.
“تقوم PhantomCore بتنفيذ هجمات معقدة ومتعددة المراحل نموذجية لحملات APT”، قالت الشركة. “بينما تستخدم Bearlyfy، من ناحية أخرى، نموذجًا مختلفًا: هجمات مع حد أدنى من التحضير وتركيز مستهدف لتحقيق تأثير فوري. يتم تحقيق الوصول الأولي من خلال استغلال الخدمات الخارجية والتطبيقات الضعيفة. مجموعة الأدوات الرئيسية تهدف إلى تشفير أو تدمير أو تعديل البيانات.”
