كشفت تقارير استخباراتية حديثة عن تصعيد ملحوظ في الأنشطة الهجومية التي تنفذها مجموعة Fancy Bear، المعروفة أيضاً باسم APT28، وهي جهة تهديد متقدمة مدعومة من دولة وتعود أنشطتها إلى عام 2007. وتشير الأدلة إلى أن المجموعة كثّفت هجماتها السيبرانية ضد حكومات وكيانات عسكرية في أنحاء متعددة من العالم، مع تركيز خاص على الجهات المرتبطة بالنزاع الأوكراني وسلاسل الإمداد الغربية.
وبحسب تحليلات أجرتها شركة Cyfirma، استخدمت المجموعة مجموعة من أدوات البرمجيات الخبيثة المتقدمة وتقنيات الهندسة الاجتماعية المتطورة لتنفيذ حملات تصيد موجه (Spear-Phishing) استهدفت مسؤولين ومورّدين عسكريين في أوكرانيا. وتعتمد هذه الهجمات على ثغرات من نوع “البرمجة النصية عبر المواقع” في منصات بريد إلكتروني شائعة مثل Roundcube وHorde وMDaemon وZimbra، مما يتيح للمهاجمين زرع شيفرات JavaScript خبيثة قادرة على سحب رسائل البريد الإلكتروني ودفاتر العناوين وبيانات الاعتماد.
وتُظهر الهجمات استغلالاً دقيقاً لثغرات أمنية تم اكتشافها مؤخراً، من بينها CVE-2023-23397 وCVE-2023-38831 وCVE-2023-20085، ما يعكس قدرة APT28 على التكيّف السريع مع المستجدات التقنية واستثمارها لصالحها.
وفي سلسلة العدوى التي تتبعها المجموعة، تُستخدم ملفات مستندات مشروطة تتضمن تعليمات ماكرو لتعطيل إعدادات الأمان وتثبيت أبواب خلفية تعتمد على برمجيات خبيثة مثل HATVIBE وCHERRYSPY. وتُظهر أدوات HATVIBE قدرة على تنفيذ المهام كل أربع دقائق، بحيث تتولى تحميل أداة CHERRYSPY التي تتيح للمهاجمين الوصول المستمر والسري إلى الأنظمة المستهدفة.
وتعتمد الهجمات على ما يُعرف بتقنيات “العيش من موارد النظام” (Living off the Land)، حيث يتم استخدام أدوات مشروعة ضمن النظام مثل PowerShell والمهام المجدولة لإخفاء الأنشطة الخبيثة عن حلول الحماية التقليدية.
وتؤكد هذه التطورات خطورة المجموعة وتطورها التقني المتسارع، الأمر الذي يستدعي تعزيز ضوابط الأمن السيبراني في القطاعات الحيوية، لا سيما تلك المرتبطة بالبنية التحتية الحكومية والدفاعية، تماشياً مع إرشادات الهيئة الوطنية للأمن السيبراني في المملكة.
