حملة CommonMagic  للتهديدات المتقدمة المستمرة توسّع نطاقها

حملة CommonMagic  للتهديدات المتقدمة المستمرة توسّع نطاقها

قدم باحثو كاسبرسكي مزيداً من التفاصيل حول حملة CommonMagic، وكشفوا عن أنشطة خبيثة أكثر تعقيداً من جهة التهديدات الفاعلة ذاتها. وجاء في التحقيق أن إطار العمل الذي تم اكتشافه حديثاً قد وسّع نطاق ضحاياه، ليشمل مؤسسات في وسط وغرب أوكرانيا، إضافة إلى الشركات في منطقة النزاع الروسية الأوكرانية. وربط خبراء كاسبرسكي أيضاً تلك الجهة المجهولة باحتمال تورطها بحملات التهديدات المتقدمة المستمرة السابقة، ومن أبرزها Operation BugDrop و Operation Groundbait (Prikormka).

ونوهّت كاسبرسكي في مارس 2023 إلى وجود حملة جديدة من التهديدات المتقدمة المستمرة  في منطقة الصراع الروسي الأوكراني. وتستخدم نفس الحملة التي تحمل اسم CommonMagic، نوعين من برمجيات مثبتة وهما PowerMagic و CommonMagic حتى تتمكن من ممارسة أنشطة التجسس. وتنشط الحملة منذ سبتمبر 2021، وتستخدم برنامجاً خبيثاً لم يتم التعرف عليه مسبقاً، بهدف جمع البيانات من الكيانات المستهدفة. ومع أن جهة التهديدات المسؤولة عن هذا الهجوم بقيت مجهولة في ذلك الوقت، واصل خبراء كاسبرسكي تحقيقاتهم، وركزوا على تعقب النشاط غير المعروف بما في ذلك تغطية الحملات المنسيّة، لمساعدتهم في جمع المزيد من الأفكار حول الحملة.

واستخدمت الحملة التي تم الكشف عنها مؤخراً إطار عمل معيارياً يسمى CloudWizard. ونجحت كاسبرسكي من خلال بحثها في تحديد مجموعه مكونة من 9 وحدات في هذا الإطار، وكان كل واحد منها مسؤولاً عن أنشطة خبيثة مختلفة، مثل جمع الملفات، وتسجيل لوحة المفاتيح، والتقاط صور للشاشة، وتسجيل إدخال الميكروفون، وسرقة كلمات المرور. وتجدر الإشارة في هذا الصدد إلى أن إحدى الوحدات تركز على استخراج البيانات من حسابات البريد الإلكتروني Gmail. ومن خلال استخراج ملفات تعريف ارتباط البريد الإلكتروني من قواعد بيانات المتصفح، يمكن لهذه الوحدة الوصول إلى سجلات النشاط، وقوائم جهات الاتصال، وجميع رسائل البريد الإلكتروني المرتبطة بالحسابات المستهدفة وتسريبها.

وكشف الباحثون أيضاً عن انتشار جغرافي واسع لضحايا الحملة. ومع أن الأهداف السابقة كانت تتركز بشكل أساسي في مناطق دونيتسك ولوهانسك وشبه جزيرة القرم، لوحظ قيامها بتوسعة نطاقها الآن، ليشمل الأفراد والكيانات الدبلوماسية والمنظمات البحثية في غرب ووسط أوكرانيا.

وبعد قيامهم بإجراء بحث مكثف حول CloudWizard، تمكن خبراء كاسبرسكي من تحقيق تقدم كبير في تحديد جهة تهديد معروفة قد تكون مسؤولة عن الحملة. ولاحظ الباحثون أوجه تشابه ملحوظة بين CloudWizard وحملتين موثقتين مسبقاً، وهما عملية Groundbait وعملية BugDrop. وتشمل أوجه التشابه الكود، وأنماط تسمية الملفات والقوائم، والاستضافة من قبل خدمات الاستضافة الأوكرانية، وملفات تعريف الضحايا المشتركة في غرب ووسط أوكرانيا، إضافة إلى منطقة الصراع في أوروبا الشرقية.

وتكشف CloudWizard أيضاً عن أوجه تشابه مع حملة CommonMagic التي تم الإبلاغ عنها مؤخراً، كما تكون بعض أقسام الكود متطابقة، إلى جانب استخدامها نفس مكتبة التشفير، وتتبع نسقاً مشابهاً لتسمية الملفات، وتشارك مواقع الضحايا داخل منطقة النزاع في أوروبا الشرقية.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *