القاهرة-الشرق
كشفت مجموعة من الباحثين الأمنيين الروس عن ظهور هجوم سيبراني يشنه مخترقين يُعتقد انتماءهم إلى أوكرانيا، يعتمدون على ثغرة في برنامج فك الملفات المضغوطة على حواسيب ويندوز.
ووفقاً لشركة F.A.C.C.T الروسية، فإن فريق المخترقين، والذين أُطلق عليه اسم Phantom Core، استخدم أسلوباً فريداً من نوعه في استغلال الثغرة، إذ تعمد استهداف الضحايا عبر بريد إلكتروني مُلغم بملف PDF مزيف، من نوع RAR بدلاً من ZIP.
وبمجرد تحميل الملف المضغوط وعند قيام المستخدم بفك الضغط عبر تطبيق WinRAR إصداره أقدم من 6.23، فإن ملفاً خبيثاً في الخلفية يبدأ تثبيت نفسه على جهاز الضحية، وحينها يبدأ تثبيت البرمجية الخبيثة الرئيسية في الهجوم وهي PhantomRAT.
وتسمح البرمجية الخبيثة للمخترقين بإمكانية التحكم عن بعد بجهاز الضحية عبر تنفيذ أوامر موجهة عبر خادم مجهول تابع للفريق، إلى جانب جمع كم كبير من بيانات الضحية، مثل اسم المستخدم ورقم IP Address الخاص بجهاز الضحية، إلى جانب إصدار نظام التشغيل.
وأشار التقرير إلى أن المعلومات المتوفرة حالياً عن الهجوم وفريق تنفيذه تشير إلى أن موضع شن هذه الهجمات ضد أهداف روسية تعكس أن الفريق ينتمي إلى أوكرانيا.
نطاق واسع
أشار التقرير إلى أن الثغرة التي تستخدمها الهجمات السيبرانية الجديدة منتشرة على نطاق واسع منذ يناير الماضي، وهي تعرف باسم CVE-2023-38831.
وأوضح باحثون بشركة Check Point لأمن المعلومات أن المخترقين يستهدفون في المقام الأول الحواسيب التي تعمل بمعمارية 64-bit، مشيرين إلى احتمالية تطوير ذلك في إصدارات متنوعة من البرمجية الخبيثة لتستهدف أيضاً الحواسيب ذات معمارية 32-bit، ما يوسع نطاق تأثير هجماتهم، بحسب ما نقله موقع "ذا ريكورد".
كما أكد شيرود ديجريبو، مدير استراتيجية الاستخبارات السيبرانية بمايكروسوفت، أن البرمجية الخبيثة معروفة بشكل واسع في سوق أمن المعلومات، وتستخدمها المجموعة الإجرامية وكذلك المخترقون التابعون للحكومات.
وفي أكتوبر الماضي، أوضح فريق جوجل الأمني TAG أن مجموعة من الهجمات السيبرانية المنفذة بواسطة مخترقين روس تستهدف قطاع الطاقة باستخدام ملفات مضغوطة خبيثة بصيغة ZIP، اعتماداً على برمجيات خبيثة مخصصة لسرقة المعلومات من الحواسيب الشخصية، إلى جانب استغلال مخترقين آخرين منتمين لموسكو الثغرة نفسها لاستهداف ضحايا في أوكرانيا.
تصنيفات
