برنامج PLUGGYAPE الخبيث
كشف فريق الاستجابة للطوارئ الحاسوبية الأوكراني (CERT-UA) عن موجة جديدة من العمليات الإلكترونية التي استهدفت كيانات الدفاع الوطني. وتشمل هذه الهجمات، التي رُصدت بين أكتوبر وديسمبر 2025، نوعًا جديدًا من البرمجيات الخبيثة لم يُوثّق سابقًا، يُعرف باسم PLUGGYAPE. وتُسلّط هذه الحملة الضوء على تطور مستمر في كلٍ من أساليب الهندسة الاجتماعية والتعقيد التقني الموجه ضد أهداف أوكرانية.
جدول المحتويات
تحديد المصدر وملف تعريف الجهة الفاعلة في التهديد
تم ربط هذا النشاط، بدرجة متوسطة من الثقة، بمجموعة قرصنة إلكترونية موالية لروسيا تُعرف باسم "فويد بليزارد"، ويُشار إليها أيضاً باسم "لوندري بير" أو "يو إيه سي-0190". وتشير التقييمات الاستخباراتية إلى أن المجموعة نشطة منذ أبريل 2024 على الأقل. وتُظهر عملياتها الأخيرة اهتماماً مركزاً بالبيئات العسكرية والدفاعية.
الهندسة الاجتماعية في صميم الوصول الأولي
لا تبدأ سلسلة العدوى بالاستغلال، بل بالخداع. يتواصل المهاجمون عبر منصات المراسلة الفورية الموثوقة على نطاق واسع، مثل سيجنال وواتساب. ينتحلون صفة ممثلين عن منظمات خيرية، ويقنعون الضحايا بفتح روابط تقود إلى مواقع إلكترونية إنسانية مزيفة، بما في ذلك نطاقات مثل harthulp-ua.com وsertriday-help.org. تنتحل هذه المواقع صفة مؤسسات شرعية، وتستضيف ملفات محمية بكلمة مرور تحتوي على برامج خبيثة.
يعتمد المهاجمون بشكل متزايد على حسابات مخترقة أو حسابات مُعدّة بإتقان مرتبطة بشركات الاتصالات الأوكرانية. وتُجرى الاتصالات باللغة الأوكرانية، وقد تشمل مكالمات صوتية أو مرئية. وفي كثير من الحالات، يُظهر المهاجم معرفة دقيقة بخلفية الضحية، ومنظمتها، وسياق عملياتها، مما يزيد بشكل كبير من فرص نجاح عملية الهندسة الاجتماعية.
داخل برنامج PLUGGYAPE: قدرات البرامج الضارة وتطورها
تحتوي الملفات المضغوطة التي تم تنزيلها على ملف تنفيذي تم إنشاؤه باستخدام PyInstaller، والذي يقوم بتثبيت باب خلفي PLUGGYAPE. يُمكّن هذا البرنامج الخبيث، المكتوب بلغة بايثون، المشغلين من تشغيل أي تعليمات برمجية عن بُعد على الأنظمة المصابة. ومع مرور الوقت، تضمنت الإصدارات الأحدث تقنيات إخفاء أكثر قوة وآليات مضادة للتحليل مصممة لمنع التنفيذ في البيئات الافتراضية أو البحثية.
يتواصل برنامج PLUGGYAPE مع مشغليه عبر اتصالات WebSocket، ويدعم أيضاً بروتوكول MQTT اعتباراً من ديسمبر 2025، مما يعزز مرونته وقدرته على الصمود. تتيح قناة الاتصال هذه تحكماً مستمراً في الأجهزة المخترقة، وتسهل على المهاجمين تنفيذ مهامهم بسرعة.
مرونة القيادة والسيطرة والأمن التشغيلي
بدلاً من تضمين عناوين خوادم التحكم مباشرةً في البرمجيات الخبيثة، يسترجع المشغلون نقاط نهاية التحكم والسيطرة من خدمات مشاركة الملفات العامة مثل rentry.co و pastebin.com. تُخزَّن هذه العناوين بصيغة base64، مما يُمكّن المهاجمين من تغيير البنية التحتية بسرعة دون إعادة نشر البرمجيات الخبيثة. يُعقّد هذا الأسلوب جهود الإزالة ويُحسّن استمرارية العمليات في حال اكتشاف خوادم معروفة وتعطيلها.
تحول أوسع نحو توصيل التهديدات عبر تطبيقات المراسلة
يؤكد مركز الاستجابة للطوارئ الحاسوبية في أوكلاند (CERT-UA) أن تطبيقات المراسلة الشائعة على كل من الأجهزة المحمولة وأجهزة الكمبيوتر الشخصية أصبحت بسرعة قنوات رئيسية لنشر التهديدات الإلكترونية. إن انتشارها الواسع، إلى جانب ثقة المستخدمين بها وتفاعلهم الفوري معها، يجعلها منصات فعالة للغاية لإيصال الأدوات الخبيثة والتلاعب بالضحايا.
