فأر AGEWHEEZE
كشف محللو الأمن السيبراني عن عملية تصيد احتيالي مُستهدفة، انتحل فيها مُهاجمون صفة فريق الاستجابة للطوارئ الحاسوبية في أوكرانيا لتوزيع أداة إدارة عن بُعد تُعرف باسم AGEWHEEZE. واعتمدت الحملة، المنسوبة إلى المجموعة UAC-0255، على رسائل بريد إلكتروني مُضللة أُرسلت في 26 و27 مارس/آذار 2026، تحث المُستلمين على تثبيت ما وُصف بأنه "برنامج مُتخصص".
احتوت هذه الرسائل الإلكترونية على روابط لملف مضغوط محمي بكلمة مرور، مُستضاف على موقع Files.fm. وقد عُرض الملف، المسمى CERT_UA_protection_tool.zip، على أنه أداة أمنية شرعية، ولكنه في الواقع كان يحمل برامج ضارة. وقد صدرت بعض الرسائل من عنوان بريد إلكتروني مزيف هو 'incidents@cert-ua.tech'، مما زاد من زيف مصداقية الرسالة.
جدول المحتويات
ملف تعريف الهدف ومدى الهجوم
استهدفت العملية نطاقاً واسعاً، شملت مجموعة متنوعة من المنظمات الحيوية للبنية التحتية الوطنية والخدمات العامة. وتضمنت هذه المنظمات ما يلي:
- المؤسسات الحكومية والوطنية
- المرافق الطبية والرعاية الصحية
- الشركات ذات الصلة بالأمن والدفاع
- المنظمات التعليمية
- المؤسسات المالية
- شركات تطوير البرمجيات
على الرغم من استراتيجية الاستهداف الواسعة، يبدو أن فعالية الحملة الإجمالية محدودة. فقد تم تأكيد عدد قليل فقط من الإصابات، والتي أثرت بشكل أساسي على الأجهزة الشخصية للموظفين داخل المؤسسات التعليمية.
داخل AGEWHEEZE: القدرات وآليات الاستمرارية
AGEWHEEZE هو حصان طروادة للتحكم عن بُعد مبني على لغة Go، مصمم للتحكم والمراقبة الشاملة للأنظمة. بمجرد تثبيته، يُنشئ اتصالاً مع خادم القيادة والتحكم على العنوان 54.36.237.92 باستخدام بروتوكولات WebSocket.
يُمكّن هذا البرنامج الخبيث المهاجمين من القيام بمجموعة واسعة من الأنشطة الضارة، بما في ذلك:
- تنفيذ أوامر عشوائية وإدارة عمليات النظام
- إجراء عمليات على الملفات ومعالجة البيانات المخزنة
- التقاط لقطات الشاشة ومراقبة نشاط المستخدم
- محاكاة مدخلات الماوس ولوحة المفاتيح
- تغيير محتويات الحافظة
إن هذا المزيج من الميزات يجعل من AGEWHEEZE أداة متعددة الاستخدامات للتجسس والتنقل الجانبي واختراق الأنظمة على المدى الطويل.
البنية التحتية الخادعة والتصنيع بمساعدة الذكاء الاصطناعي
كشف التحقيق في النطاق الاحتيالي "cert-ua.tech" عن مؤشرات على تطوير آلي أو مدعوم بالذكاء الاصطناعي. احتوى كود HTML الخاص بالموقع على تعليق لافت باللغة الروسية: "С Любовью, КИБЕР СЕРП" ("مع الحب، محرك البحث الإلكتروني")، مما يشير إلى نسبته إلى مجموعة تُطلق على نفسها اسم "محرك البحث الإلكتروني".
أعلنت مجموعة "سايبر سيرب" انتماءها إلى دوائر الإنترنت السرية الأوكرانية عبر قناتها على تطبيق تيليجرام، التي أُنشئت في نوفمبر 2025 وبلغ عدد مشتركيها أكثر من 700 مشترك. وأكدت المجموعة علنًا أن حملة التصيد الاحتيالي استهدفت ما يصل إلى مليون حساب بريد إلكتروني، وأسفرت عن اختراق أكثر من 200 ألف جهاز، وهي أرقام تتجاوز بكثير التقديرات المستقلة.
ادعاءات متضاربة ونشاط تهديد أوسع نطاقاً
حاولت شركة سايبر سيرب تصوير نفسها كجهة فاعلة انتقائية، مدعيةً أن المواطنين العاديين لن يتأثروا بعملياتها. إلا أن هذه التصريحات تتناقض مع الطبيعة العشوائية لحملات التصيد الاحتيالي واسعة النطاق.
في حادثة منفصلة، أعلنت المجموعة مسؤوليتها عن اختراق شركة سايفر، مدعيةً الوصول إلى بيانات الخادم وقواعد بيانات العملاء وشفرة المصدر الخاصة بها. وأكدت سايفر لاحقًا حدوث اختراق محدود يتعلق ببيانات اعتماد أحد الموظفين، لكنها شددت على ما يلي:
- ظلت البنية التحتية الأساسية آمنة وعاملة
- كان الحساب المتأثر لا يملك سوى إمكانية الوصول إلى مشروع واحد غير حساس
يسلط هذا التناقض الضوء على تكتيك شائع بين الجهات الفاعلة التي تشكل تهديداً، وهو المبالغة في التأثير لتضخيم النفوذ والمصداقية المتصورة.
التقييم والآثار الأمنية
تُظهر هذه الحملة استمرار فعالية أساليب انتحال الهوية، لا سيما عند استغلال جهات الأمن السيبراني الوطنية الموثوقة. ورغم احتواء الأثر المباشر، فإن التطور التقني لبرنامج AGEWHEEZE الخبيث وحجم محاولات توزيعه يشيران إلى بيئة تهديدات مستمرة ومتطورة.
يُنصح المنظمات بتعزيز عمليات التحقق من البريد الإلكتروني، وفحص المرفقات غير المرغوب فيها، وتثقيف الموظفين حول كيفية التعرف على محاولات انتحال الشخصية التي تشمل المؤسسات ذات السلطة.
