رصد باحثون في شركتي Cyble وSeqrite حملة تصيد سيبراني موجهة استهدفت عسكريين في روسيا وبيلاروس عبر رسائل بريد إلكتروني تتضمن وثائق تبدو في ظاهرها رسمية ذات طابع عسكري. إلا أن هذه الوثائق كانت تحمل ملفات اختصار خبيثة من نوع LNK، مصممة للظهور في هيئة ملفات PDF، بهدف خداع الضحايا ودفعهم إلى تحميلها وتشغيلها.
تبين أن الهدف من الحملة هو اختراق أنظمة الضحايا والسيطرة الكاملة عليها من خلال ملف LNK مزور داخل أرشيف مضغوط ZIP يحمل عنواناً عسكرياً هو TLG for departure for retraining.pdf.lnk. وعند تشغيل الملف، يقوم بتفعيل PowerShell وتشغيل سلسلة أوامر لاستخراج محتوى خبيث وتنفيذه، مع آلية ذكية توقف العملية تلقائياً إذا اكتشف البرنامج أنه يعمل داخل بيئة اختبار أو تحليل آلي.
في حال نجاح التنفيذ، يفتح الملف وثيقة PDF خداعية أمام المستخدم، فيما تبدأ البرمجية في الخلفية بإنشاء مهام مجدولة لضمان استمرارها في النظام. كما تشغل نسخة شرعية من OpenSSH معدلة لفتح خدمة SSH داخل الجهاز على المنفذ 20321 باستخدام مصادقة بالمفتاح فقط، بحيث لا يتمكن من الدخول سوى المهاجم الذي يملك المفتاح الخاص المطابق.
الأخطر أن البرمجية تنشئ خدمة خفية عبر شبكة Tor وتربطها بعناوين onion، مع إعداد تحويل منافذ لبروتوكولات حساسة في نظام Windows مثل RDP وSFTP وSMB، بما يتيح للمهاجم الوصول إلى سطح المكتب التفاعلي وسحب الملفات الحساسة أو تحميل برمجيات إضافية.
مؤشرات فنية تقربها من Sandworm
وفق تحليل Seqrite، استخدم المهاجمون في فرع آخر من الحملة ملف اختصار مشابه بعنوان Nomination for appointment to military position.pdf.lnk، استخدم كطعم موجه إلى ضباط في القوات الروسية المحمولة جواً والقوات الخاصة البيلاروسية العاملة في مجال الطائرات المسيرة.
أشار الباحثون في Cyble إلى تشابهات واضحة بين هذه العملية وأخرى استهدفت في وقت سابق مؤسسات أوكرانية ونسبت إلى مجموعة Sandworm الروسية (المعروفة أيضاً باسم APT44). إلا أنهم أكدوا أن عملية الإسناد لا تزال غير محسومة في هذه المرحلة.
من جانبهم، أوضح خبراء Seqrite أن استخدام Tor للتواصل مع نطاقات onion كان سابقاً من سمات المجموعات الروسية المرتبطة بـAPT44 وAPT28، غير أن استهداف القوات الروسية والبيلاروسية يجعل الفرضية أكثر تعقيداً. وأشاروا إلى أن هجمات مشابهة وثقتها جهات موالية لأوكرانيا مثل Angry Likho (Sticky Werewolf) وAwaken Likho (Core Werewolf)، لكن لم يحدد المسؤول الفعلي عن الهجوم.
