PowerModul Implant

استهدفَت الجهةُ المُهدِّدةُ المعروفةُ باسم Paper Werewolf - والمعروفةُ أيضًا باسم GOFFEE - المؤسساتِ الروسيةَ حصريًا باستخدامِ برمجيةٍ خبيثةٍ جديدةٍ تُسمى PowerModul. وبين يوليو وديسمبر 2024، ركَّزت هجماتُها على قطاعاتٍ رئيسية، بما في ذلك وسائلُ الإعلام، والاتصالات، والبناء، والهيئاتُ الحكومية، وقطاعُ الطاقة.

عدوٌّ دائم: حملاتٌ منذ عام ٢٠٢٢

نفذ "ذئب الورق" ما لا يقل عن سبع حملات منذ عام 2022. وكان تركيز المجموعة المستمر على أهداف عالية القيمة داخل قطاعات الحكومة والطاقة والمالية والإعلام.

أكثر من مجرد تجسس: منعطفات مدمرة في سلاسل الهجمات

تتجاوز عمليات "مُستذئب الورق" التجسس الإلكتروني التقليدي. فقد لوحظت سلاسل هجماتهم التي تتضمن عناصر مُعطِّلة، مثل تغيير كلمات مرور حسابات الموظفين، مما يُشير إلى نية عرقلة العمليات وليس مجرد سرقة البيانات.

نقطة الدخول: إغراءات التصيد الاحتيالي و PowerRAT

تبدأ الهجمات عادةً برسائل تصيد احتيالي تحتوي على مستندات مزوّدة بوحدات الماكرو. بمجرد وصول الضحية إلى الملف وتفعيل وحدات الماكرو، يتم نشر حصان طروادة للوصول عن بُعد قائم على PowerShell يُعرف باسم PowerRAT . يُمهّد هذا البرنامج الخبيث الطريق لهجمات أكثر تطورًا.

ترسانة البرامج الضارة المخصصة: PowerTaskel و QwakMyAgent و Owowa

غالبًا ما تتضمن حمولات المرحلة التالية PowerTaskel وQwakMyAgent، وهما نسختان مخصصتان من الوكلاء مبنيتان على إطار عمل Mythic. وتُستخدم أداة أخرى، وهي Owowa، وهي وحدة IIS خبيثة، لسرقة بيانات اعتماد Microsoft Outlook المُدخلة عبر عملاء الويب.

تكتيك جديد للعدوى: ملفات قابلة للتنفيذ مُقنّعة في أرشيفات RAR

تتضمن أحدث موجة من الهجمات أرشيف RAR خبيثًا يحتوي على ملف قابل للتنفيذ مُموّه على أنه ملف PDF أو Word باستخدام امتدادين (مثل *.pdf.exe). عند التنفيذ، يُعرض مستند وهمي للمستخدم بينما يكون النظام مُصابًا بصمت في الخلفية.

الملف القابل للتنفيذ هو في الواقع ملف نظام Windows مُرقّع (مثل explorer.exe)، مُضمّن مع كود برمجي ضار يحتوي على وكيل Mythic مُشوّش، والذي يتصل بخادم C2 للحصول على إرشادات إضافية.

مسار هجوم بديل: PowerModul يأخذ مركز الصدارة

بطريقة بديلة، يستخدم Paper Werewolf ملف RAR مع مستند Office مُدمج بوحدات الماكرو، والذي يعمل كمُرسِل لـ PowerModul. يُمكن لهذا البرنامج النصي PowerShell تنفيذ نصوص برمجية إضافية من خادم C2، مما يجعله بابًا خلفيًا متعدد الاستخدامات.

عرض الحمولة: مجموعة أدوات للتجسس والعدوى

يُستخدم PowerModul منذ أوائل عام ٢٠٢٤، ويهدف بشكل أساسي إلى تنزيل وتشغيل PowerTaskel. من بين الحمولات الأخرى الجديرة بالذكر:

• FlashFileGrabber : يسرق الملفات من محركات الأقراص المحمولة ويقوم باستخراجها.
• FlashFileGrabberOffline : يبحث عن الملفات ذات الامتدادات المحددة على وسائط الفلاش ويخزنها محليًا لاستخراجها لاحقًا.
• دودة USB : تصيب محركات الأقراص المحمولة بنسخة من PowerModul لنشر البرامج الضارة على نطاق أوسع.

إمكانيات PowerTaskel: أكثر من مجرد تنفيذ النصوص البرمجية

على الرغم من تشابهه مع PowerModul، إلا أن PowerTaskel أكثر كفاءة. فهو يرسل رسالة "تسجيل وصول" تتضمن معلومات النظام، ويُشغّل أوامر من خادم C2، ويمكنه تصعيد الامتيازات باستخدام PsExec. في إحدى الحالات، شوهد وهو يُنفّذ نصًا برمجيًا FolderFileGrabber يجمع الملفات من أنظمة بعيدة باستخدام مسارات شبكة SMB مُبرمجة مسبقًا.

التطور في التكتيكات: التحول بعيدًا عن PowerTaskel

لأول مرة، استخدم فريق Paper Werewolf مستندات Word مزورة مزودة بنصوص VBA للوصول الأولي. وتشير النتائج الأخيرة أيضًا إلى تحول تكتيكي، حيث ابتعد الفريق عن PowerTaskel واعتمد بشكل متزايد على عملاء Mythic الثنائيين للتحرك الجانبي داخل الشبكات المستهدفة.

الأفكار النهائية: تهديد متزايد مع تقنيات متطورة

يواصل "المستذئب الورقي" تحسين تقنياته وتوسيع ترسانته. تركيزه الحصري على الكيانات الروسية، إلى جانب قدراته التخريبية واستراتيجية العدوى المتطورة، يجعله تهديدًا إلكترونيًا خطيرًا ومستمرًا يلوح في الأفق.