תוכנה זדונית של PLUGGYAPE
צוות תגובת החירום הממוחשב של אוקראינה (CERT-UA) חשף גל חדש של פעולות סייבר המכוונות נגד גופי הגנה לאומיים. התקפות אלו, שנצפו בין אוקטובר לדצמבר 2025, כוללות זן לא מתועד של תוכנה זדונית בשם PLUGGYAPE. הקמפיין מדגיש התפתחות מתמשכת הן בטקטיקות הנדסה חברתית והן בתחכום טכני המכוון נגד מטרות אוקראיניות.
תוכן העניינים
פרופיל ייחוס וגורם איום
הפעילות נקשרה, בביטחון בינוני, לקבוצת האקרים המזוהה עם רוסיה המכונה Void Blizzard, המכונה גם Laundry Bear או UAC-0190. הערכות מודיעין מצביעות על כך שהקבוצה פעילה לפחות מאפריל 2024. פעולותיהם האחרונות מדגימות עניין ממוקד בסביבות צבאיות וביטחוניות.
הנדסה חברתית בליבת הגישה הראשונית
שרשרת ההדבקה מתחילה לא בניצול לרעה, אלא בהונאה. גורמי איום יוזמים קשר דרך פלטפורמות מסרים מיידיים מהימנות כמו Signal ו-WhatsApp. הם מתחזים לנציגי ארגוני צדקה ומשכנעים את הקורבנות לפתוח קישורים המובילים לאתרי אינטרנט הומניטריים מזויפים, כולל דומיינים כמו harthulp-ua.com ו-solidarity-help.org. אתרים אלה מתחזים לקרנות לגיטימיות ומארחים ארכיונים מוגנים בסיסמה המכילים את המטען הזדוני.
התוקפים מסתמכים יותר ויותר על חשבונות פרוצים או מוכנים בצורה משכנעת הקשורים למפעילי סלולר אוקראינים. התקשורת מתנהלת באוקראינית ועשויה לכלול שיחות קוליות או וידאו. במקרים רבים, היריב מפגין היכרות מעמיקה עם הרקע, הארגון וההקשר המבצעי של הקורבן, מה שמגדיל משמעותית את הצלחת מאמץ ההנדסה החברתית.
בתוך PLUGGYAPE: יכולות והתפתחות של תוכנות זדוניות
הארכיונים שהורדו פורסים קובץ הרצה שנבנה באמצעות PyInstaller, אשר מתקין את הדלת האחורית PLUGGYAPE. התוכנה הזדונית, שנכתבה ב-Python, מאפשרת למפעילים להריץ קוד שרירותי מרחוק על מערכות נגועות. עם הזמן, גרסאות חדשות יותר שילבו טכניקות ערפול חזקות יותר ומנגנוני אנטי-אנליזה שנועדו למנוע ביצוע בסביבות וירטואליות או מחקר.
PLUGGYAPE מתקשרת עם מפעיליה באמצעות חיבורי WebSocket, ונכון לדצמבר 2025, תומכת גם בפרוטוקול MQTT, מה שמרחיב את הגמישות והחוסן שלו. ערוץ תקשורת זה מאפשר שליטה מתמשכת על מארחים שנפגעו ומקל על ביצוע משימות מהיר על ידי התוקפים.
חוסן פיקוד ובקרה וביטחון מבצעי
במקום להטמיע כתובות שרתי בקרה ישירות בתוך התוכנה הזדונית, המפעילים מאחזרים נקודות קצה של Command-and-Control משירותי העברת נתונים ציבוריים כגון rentry.co ו-pastebin.com. כתובות אלו מאוחסנות בצורת קידוד base64, מה שמאפשר לתוקפים לשנות במהירות את התשתית מבלי לפרוס מחדש את התוכנה הזדונית. גישה זו מסבכת את מאמצי ההסרה ומשפרת את המשכיות התפעול אם מתגלים שרתים ידועים ומשובשים.
מעבר רחב יותר לכיוון שליחה של איומים מבוססי מסרים
CERT-UA מדגיש כי יישומי מסרים פופולריים הן במכשירים ניידים והן במחשבים אישיים הופכים במהירות לערוצים עיקריים להפצת איומי סייבר. שכיחותם בכל מקום, בשילוב עם אמון המשתמשים ואינטראקציה בזמן אמת, הופכת אותם לפלטפורמות יעילות במיוחד להעברת כלים זדוניים ולמניפולציה של קורבנות.
