- تستهدف Tomiris APT الهيئات الحكومية من خلال عمليات زرع برامج ضارة متعددة اللغات
- تقوم المجموعة بإخفاء حركة مرور C2 في Telegram/Discord، باستخدام التصيد الاحتيالي للوصول الأولي
- وتركز الحملة على الاستخبارات على مستوى الدولة، وضرب مؤسسات روسيا وآسيا الوسطى
قامت مجموعة Tomiris، وهي مجموعة قرصنة APT ناطقة بالروسية، بتضييق نطاق تركيز هجومها لاستهداف الوزارات الحكومية والمنظمات الحكومية الدولية والمؤسسات ذات الأهمية السياسية.
هذا وفقًا لتقرير جديد صادر عن باحثي الأمن السيبراني كاسبرسكي، والذي يدعي أنه منذ أوائل عام 2025، كانت هناك موجة من عمليات الاقتحام التي نشر فيها Tomiris ترسانة كبيرة من عمليات الزرع متعددة اللغات.
تم تصميم الأدوات، المكتوبة بلغات Go وRust وPython وPowerShell (من بين لغات أخرى)، لتحقيق المرونة والتعتيم، فضلاً عن جعل الإسناد أكثر صعوبة.
استهداف الضحايا الروس وآسيا الوسطى
ويُقال إن Tomiris تخفي الآن بنيتها التحتية للقيادة والتحكم (C2) في الخدمات العامة مثل Telegram أو Discord، مما يساعدها على إخفاء حركة المرور الضارة داخل تدفقات الرسائل المشفرة العادية.
تعتمد العديد من الأصداف العكسية، مثل Tomiris Python أو Discord ReverseShell أو Tomiris Python Telegram ReverseShell، بشكل كامل على هذه الأنظمة الأساسية لتلقي الأوامر وتصفية البيانات المسروقة.
عادةً ما يتم الوصول الأولي عبر التصيد الاحتيالي باستخدام قواعد مكتوبة باللغة الروسية. بمجرد نشر المرحلة الأولى من البرمجيات الخبيثة، يتربص المهاجمون ويشغلون أوامر النظام وينشرون المرحلة الثانية من البرمجيات الخبيثة. وقالت كاسبرسكي أيضًا إن أطر العمل مثل Havoc وAdaptixC2 تظهر في مراحل لاحقة، وتُستخدم للاستمرارية والحركة الجانبية والاستيلاء على الجهاز.
وقيل إن أكثر من نصف عمليات التصيد الاحتيالي التي يقوم بها توميريس تستهدف الأفراد أو المؤسسات الناطقة بالروسية. أما الباقي فيقع في دول آسيا الوسطى مثل تركمانستان وقيرغيزستان وطاجيكستان وأوزبكستان. ويؤكد كاسبرسكي أيضًا أن هذه ليست جريمة انتهازية، بل هي حملة تتمحور حول جمع المعلومات الاستخبارية على مستوى الدولة.
ويخلص كاسبرسكي إلى أن “التطور في التكتيكات يؤكد تركيز جهة التهديد على التخفي، والمثابرة على المدى الطويل، والاستهداف الاستراتيجي للحكومة والمنظمات الحكومية الدولية”. “إن استخدام الخدمات العامة لاتصالات C2 والغرسات متعددة اللغات يسلط الضوء على الحاجة إلى استراتيجيات كشف متقدمة، مثل التحليل السلوكي وفحص حركة مرور الشبكة، لتحديد هذه التهديدات والتخفيف منها بشكل فعال.”
عبر أخبار الهاكر
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات