عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد التهديد المستمر المتقدم (APT) حملة هجوم APT28 FrostArmada

حملة هجوم APT28 FrostArmada

بواسطة Mezo في التهديد المستمر المتقدم (APT), البرمجيات الخبيثة, التصيد الاحتيالي
ترجمة الى:

استغلت عملية تجسس إلكتروني متطورة، تُنسب إلى مجموعة التهديد APT28 المرتبطة بروسيا، والمعروفة أيضاً باسم Forest Blizzard، بنية تحتية شبكية ضعيفة لإجراء عمليات مراقبة واسعة النطاق. وقد ركزت هذه الحملة، التي تحمل الاسم الرمزي FrostArmada، والتي بدأت نشاطها منذ مايو 2025 على الأقل، على اختراق أجهزة توجيه MikroTik وTP-Link غير الآمنة، وتحويلها إلى أدوات خبيثة تحت سيطرة المهاجمين.

استهدفت هذه العملية بشكل أساسي أجهزة المنازل والمكاتب الصغيرة، مستغلةً ثغرات في الإعدادات للتلاعب بإعدادات نظام أسماء النطاقات (DNS). وبذلك، تمكن المهاجمون من اعتراض حركة مرور الشبكة وإعادة توجيهها، مما أتاح جمع البيانات بشكل سلبي وغير قابل للكشف إلى حد كبير.

اختطاف نظام أسماء النطاقات (DNS): تحويل أجهزة التوجيه إلى أدوات مراقبة صامتة

يكمن جوهر الحملة في اختراق نظام أسماء النطاقات (DNS)، وهي تقنية سمحت للمهاجمين بإعادة توجيه حركة البيانات المشروعة عبر بنية تحتية خبيثة. بمجرد اختراق جهاز التوجيه، يتم تغيير إعدادات نظام أسماء النطاقات الخاصة به لتشير إلى خوادم يتحكم بها المهاجمون. وقد مكّن هذا التلاعب من اعتراض البيانات الحساسة دون الحاجة إلى أي تدخل من المستخدم.

عندما حاول المستخدمون الوصول إلى النطاقات المستهدفة، أُعيد توجيه طلباتهم سرًا إلى خوادم وسيطة (AitM). قامت هذه الخوادم بالتقاط بيانات المصادقة، بما في ذلك بيانات تسجيل الدخول، وأرسلتها إلى المهاجمين. كانت العملية سرية للغاية، مما جعل اكتشافها صعبًا للغاية.

تحليل سلسلة الهجمات: من الاستغلال إلى سرقة بيانات الاعتماد

اتبعت دورة حياة الهجوم تسلسلًا منظمًا مصممًا لزيادة جمع البيانات إلى أقصى حد مع تقليل احتمالية الكشف عنها إلى أدنى حد:

  • اختراق أجهزة التوجيه الخاصة بالمكاتب الصغيرة والمكاتب المنزلية (SOHO) في البداية من خلال الثغرات الأمنية أو الإعدادات الضعيفة.
  • الوصول الإداري غير المصرح به وتعديل إعدادات نظام أسماء النطاقات (DNS)
  • إعادة توجيه استعلامات نظام أسماء النطاقات (DNS) إلى خوادم تحليل خبيثة يتحكم بها فاعلون فاعلون
  • اعتراض حركة مرور المستخدم عبر بنية AitM التحتية
  • جمع واستخراج بيانات الاعتماد، بما في ذلك كلمات المرور ورموز OAuth

أتاحت هذه الطريقة للمهاجمين مراقبة محاولات تسجيل الدخول إلى منصات البريد الإلكتروني وخدمات الويب، بما في ذلك الحالات التي تتضمن Microsoft Outlook على الويب وأنظمة أخرى غير مستضافة من قبل Microsoft.

نطاق عالمي واستهداف استراتيجي

توسعت الحملة بشكل ملحوظ مع مرور الوقت. فبينما بدأت بشكل محدود في مايو 2025، تصاعدت جهود الاستغلال على نطاق واسع بحلول أوائل أغسطس. وفي ذروتها في ديسمبر 2025، رُصد أكثر من 18000 عنوان IP فريد في 120 دولة على الأقل تتواصل مع بنية تحتية يتحكم بها المهاجمون.

شملت الأهداف الرئيسية ما يلي:

  • المؤسسات الحكومية مثل وزارات الخارجية ووكالات إنفاذ القانون
  • مزودو خدمات البريد الإلكتروني والخدمات السحابية التابعون لجهات خارجية
  • المنظمات في جميع أنحاء شمال أفريقيا وأمريكا الوسطى وجنوب شرق آسيا وأوروبا

تأثرت أكثر من 200 منظمة وحوالي 5000 جهاز استهلاكي، مما يدل على حجم العملية ومدى انتشارها.

استغلال الثغرات الأمنية وتكتيكات البنية التحتية

استغل المهاجمون ثغرات أمنية معروفة للوصول إلى أجهزة الشبكة. ومن الجدير بالذكر أنه تم استغلال أجهزة توجيه TP-Link WR841N باستخدام الثغرة CVE-2023-50224، وهي ثغرة في تجاوز المصادقة سمحت باستخراج بيانات الاعتماد عبر طلبات HTTP GET مصممة خصيصًا.

بالإضافة إلى ذلك، تم تحديد مجموعة بنية تحتية ثانوية مسؤولة عن إعادة توجيه حركة مرور نظام أسماء النطاقات (DNS) من أجهزة التوجيه المخترقة إلى خوادم يتحكم بها المهاجمون عن بُعد. كما نفذت هذه المجموعة عمليات تفاعلية مُستهدفة ضد أجهزة توجيه MikroTik مُحددة، لا سيما في أوكرانيا.

التجسس المتقدم من خلال اختراق الأجهزة الطرفية

تمثل هذه الحملة تطوراً هاماً في أساليب عمليات مجموعة APT28. فقد أظهرت المجموعة، ولأول مرة، قدرتها على تنفيذ عمليات اختطاف نظام أسماء النطاقات (DNS) على نطاق واسع لتسهيل هجمات AitM ضد اتصالات بروتوكول أمان طبقة النقل (TLS).

من خلال اختراق الأجهزة الطرفية، التي غالباً ما تكون أقل مراقبة من أنظمة المؤسسات، تمكن المهاجمون من الحصول على رؤية شاملة لحركة مرور الشبكة. وقد سمح لهم هذا التموضع الاستراتيجي بتحديد أهداف ذات قيمة عالية والتركيز بشكل انتقائي على الأفراد أو المنظمات التي تهم أجهزة الاستخبارات.

تم تقييم العملية على أنها انتهازية بطبيعتها، حيث بدأت بإلقاء شبكة واسعة ثم تضييق نطاق الأهداف تدريجياً بناءً على قيمة البيانات التي تم اعتراضها.

الاضطراب التشغيلي والمخاطر المستمرة

تم تفكيك البنية التحتية الخبيثة التي تدعم برنامج FrostArmada الخبيث من خلال جهد منسق شاركت فيه وزارة العدل الأمريكية ومكتب التحقيقات الفيدرالي وشركاء دوليون. وعلى الرغم من هذا التفكيك، فإن الأساليب المستخدمة تُبرز المخاطر المستمرة المرتبطة بأجهزة الشبكة غير الآمنة.

رغم أن الحملة ركزت في المقام الأول على جمع المعلومات الاستخباراتية، إلا أن استخدام تقنية تحديد المواقع الذكية (AitM) يُشكل تهديدات أوسع نطاقًا. إذ يُمكن لهذا الوصول أن يُتيح أنشطة خبيثة إضافية، بما في ذلك نشر البرامج الضارة أو شنّ هجمات حجب الخدمة، مما يزيد بشكل كبير من التأثير المحتمل على المؤسسات المستهدفة.

الخلاصة: جرس إنذار لأمن الشبكات

تؤكد حملة FrostArmada على الأهمية البالغة لتأمين الأجهزة الطرفية ضمن بيئات الشبكة. إذ يوفر استغلال أجهزة التوجيه وبنية نظام أسماء النطاقات (DNS) للمهاجمين وسيلة قوية وخفية للمراقبة، غالباً ما تتجاوز ضوابط الأمان التقليدية.

يجب على المنظمات والأفراد على حد سواء إعطاء الأولوية للتكوين السليم، والتحديث في الوقت المناسب، والمراقبة المستمرة لأجهزة الشبكة للتخفيف من المخاطر التي تشكلها هذه الجهات الفاعلة المتقدمة في مجال التهديدات.

الشائع

الأكثر مشاهدة

جار التحميل...