عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد التهديد المستمر المتقدم (APT) حملة هجوم عملية أولالامبو

حملة هجوم عملية أولالامبو

بواسطة Mezo في التهديد المستمر المتقدم (APT), البرمجيات الخبيثة
ترجمة الى:

أطلقت جماعة "مادي ووتر" الإرهابية، المدعومة من إيران، والتي تُعرف أيضاً باسم "إيرث فيتالا" و"مانجو ساندستورم" و"مادي كوست"، حملة إلكترونية جديدة أطلقت عليها اسم "عملية أولالامبو". استهدفت هذه العملية بشكل أساسي منظمات وأفراداً في منطقة الشرق الأوسط وشمال أفريقيا.

تم رصد هذه الحملة لأول مرة في 26 يناير 2026، وهي تُدخل العديد من عائلات البرمجيات الخبيثة الجديدة مع إعادة استخدام مكونات سبق ربطها بالمجموعة. ويشير باحثو الأمن إلى أن هذا النشاط يعكس استمرارًا لأنماط عمليات مجموعة "مادي ووتر" الراسخة، مما يعزز وجودها المستمر في منطقة الشرق الأوسط وتركيا وأفريقيا.

نواقل العدوى وسلاسل الهجوم

تتبع الحملة منهجية اختراق مألوفة تتوافق مع عمليات سابقة لشركة مادي ووتر. يبدأ الوصول الأولي عادةً برسائل بريد إلكتروني مُستهدفة تحتوي على مرفقات خبيثة من مايكروسوفت أوفيس. تتضمن هذه المستندات شفرة ماكرو مصممة لفك تشفير وتنفيذ برامج ضارة على نظام الضحية، مما يمنح المهاجمين في النهاية تحكمًا عن بُعد.

تم رصد العديد من أشكال الهجوم المختلفة:

  • يقوم مستند خبيث من مايكروسوفت إكسل بحث الضحايا على تمكين وحدات الماكرو، مما يؤدي إلى نشر الباب الخلفي CHAR القائم على لغة Rust.
  • يقوم إصدار مشابه بتسليم برنامج التنزيل GhostFetch، الذي يقوم بدوره بتثبيت برنامج GhostBackDoor الخبيث.
  • تستخدم سلسلة عدوى ثالثة طُعمًا مُصممًا خصيصًا، مثل تذاكر الطيران أو التقارير التشغيلية، بدلاً من انتحال صفة شركة طاقة وخدمات بحرية في الشرق الأوسط، لتوزيع برنامج تنزيل HTTP_VIP. ويقوم هذا النوع من البرامج في النهاية بتثبيت تطبيق AnyDesk للتحكم عن بُعد للوصول الدائم.

بالإضافة إلى ذلك، لوحظ أن المجموعة تستغل الثغرات الأمنية التي تم الكشف عنها حديثًا في الخوادم المواجهة للإنترنت للحصول على وصول أولي إلى البيئات المستهدفة.

ترسانة البرمجيات الخبيثة: أدوات مخصصة وزرعات معيارية

تعتمد عملية أولالامبو على منظومة برمجيات خبيثة منظمة ومتعددة المراحل، مصممة لأغراض الاستطلاع والبقاء والتحكم عن بُعد. وتشمل الأدوات الرئيسية التي تم تحديدها في هذه الحملة ما يلي:

GhostFetch – برنامج تنزيل من المرحلة الأولى يقوم بتحليل الأنظمة المخترقة من خلال التحقق من حركة الماوس ودقة الشاشة، والكشف عن أدوات تصحيح الأخطاء، وتحديد آثار الآلات الافتراضية، والتحقق من وجود برامج مكافحة الفيروسات. يقوم البرنامج باسترجاع وتنفيذ حمولات ثانوية مباشرة في الذاكرة.

GhostBackDoor – زرعة من المرحلة الثانية يتم توصيلها بواسطة GhostFetch. وهي تتيح الوصول التفاعلي إلى واجهة سطر الأوامر، وعمليات قراءة/كتابة الملفات، ويمكنها إعادة تشغيل GhostFetch.

HTTP_VIP – أداة تنزيل أصلية تقوم باستطلاع النظام وتتصل بالنطاق الخارجي "codefusiontech.org" للمصادقة. تقوم بتثبيت AnyDesk من خادم تحكم وسيطرة (C2). يُحسّن الإصدار الأحدث من وظائفها من خلال جمع بيانات الضحية، وتنفيذ أوامر النظام التفاعلية، ونقل الملفات، والتقاط محتوى الحافظة، وفترات إرسال إشارات قابلة للتكوين.

CHAR – باب خلفي مبني على لغة Rust يتم التحكم به عبر بوت Telegram يُعرف باسم 'Olalampo' (اسم المستخدم: stager_51_bot). يدعم هذا الباب الخلفي التنقل بين المجلدات وتنفيذ أوامر cmd.exe أو PowerShell.

تُمكّن وظيفة PowerShell المرتبطة بـ CHAR من تشغيل وكيل عكسي SOCKS5 أو باب خلفي إضافي يُسمى Kalim. كما تُسهّل هذه الوظيفة تسريب بيانات المتصفح وتُشغّل ملفات تنفيذية تحمل اسمي 'sh.exe' و'gshdoc_release_X64_GUI.exe'.

التطوير بمساعدة الذكاء الاصطناعي وتداخل التعليمات البرمجية

كشف التحليل التقني لشفرة المصدر لبرنامج CHAR عن مؤشرات على تطويره بمساعدة الذكاء الاصطناعي. ويتوافق وجود الرموز التعبيرية ضمن سلاسل تصحيح الأخطاء مع نتائج سابقة كشفت عنها جوجل، والتي أفادت بأن شركة MuddyWater كانت تجري تجارب على أدوات الذكاء الاصطناعي التوليدية لتحسين تطوير البرمجيات الخبيثة، لا سيما فيما يتعلق بنقل الملفات وقدرات التنفيذ عن بُعد.

يُظهر تحليل إضافي وجود تشابهات هيكلية وبيئية بين برنامج CHAR الخبيث وبرنامج BlackBeard الخبيث المبني على لغة Rust، والمعروف أيضاً باسم Archer RAT أو RUSTRIC، والذي سبق أن استخدمته المجموعة ضد كيانات في الشرق الأوسط. تشير هذه التشابهات إلى وجود مسارات تطوير مشتركة وتحسينات متكررة للأدوات.

توسيع القدرات والنوايا الاستراتيجية

لا تزال مجموعة مادي ووتر تشكل تهديدًا مستمرًا ومتطورًا في منطقة الشرق الأوسط وشمال أفريقيا. ويُظهر دمج التطوير المدعوم بالذكاء الاصطناعي، والتحسين المستمر للبرمجيات الخبيثة المصممة خصيصًا، واستغلال الثغرات الأمنية المتاحة للعامة، وتنويع بنية التحكم والسيطرة، التزامًا طويل الأمد بالتوسع العملياتي.

تؤكد عملية أولالامبو على تركيز المجموعة المستمر على الأهداف في منطقة الشرق الأوسط وشمال أفريقيا، وتُبرز التطور المتزايد لقدراتها على الاختراق. ينبغي على المنظمات العاملة في المنطقة توخي الحذر الشديد، وفرض قيود صارمة، ومراقبة اتصالات القيادة والسيطرة الصادرة، وإعطاء الأولوية لمعالجة الثغرات الأمنية في الوقت المناسب للحد من التعرض لهذا المشهد المتطور للتهديدات.

الشائع

احتيال عبر البريد الإلكتروني من بنك فيدرال إيكويتي...

التصيد الاحتيالي, رسائل إلكترونية مزعجة
يُعدّ توخي الحذر عند التعامل مع رسائل البريد الإلكتروني غير المتوقعة أمرًا بالغ الأهمية في ظلّ التهديدات الإلكترونية الحالية. فكثيرًا ما ينتحل مجرمو الإنترنت صفة مؤسسات موثوقة لكسب ثقة المتلقين والتلاعب بهم لحملهم على كشف معلومات حساسة أو إرسال أموال. ومن الأمثلة على ذلك ما يُسمى برسالة "تعويض بنك فيدرال إيكويتي ترست". لا ترتبط هذه الرسائل بأي شركة أو بنك أو منظمة أو جهة حكومية شرعية، بل هي جزء...

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
24,140
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...