- يقال إن APT28 (Fancy Bear) تدير “Operation MacroMaze” منذ سبتمبر 2025
- يتم استخدام رسائل البريد الإلكتروني للتصيد الاحتيالي باستخدام مستندات Word محملة بوحدات الماكرو لإسقاط سارقي المعلومات
- تعتمد سلسلة الهجوم على نصوص برمجية بسيطة ولغة HTML، مما يزيد من التخفي والثبات
لوحظ أن APT28، مجموعة القرصنة الروسية سيئة السمعة التي ترعاها الدولة والمعروفة أيضًا باسم Fancy Bear أو Sofacy، تستهدف “كيانات محددة” في أوروبا الغربية والوسطى من خلال سارقي المعلومات.
في تقرير صدر حديثًا، قام الباحثون الأمنيون Lab52 من S2 Grupo بتفصيل “عملية MacroMaze”، والتي كانت مستمرة منذ أواخر سبتمبر 2025 على الأقل حتى يناير 2026.
تبدأ الحملة برسالة بريد إلكتروني مخصصة للغاية للتصيد الاحتيالي. تختلف المواضيع والمحتويات، ولكنها تتعلق في الغالب بالمواضيع الدبلوماسية. وفي إحدى الحالات، قال الباحثون إنهم رأوا نسخة معدلة قليلاً من جداول الأعمال الدبلوماسية الرسمية يتم توزيعها.
مستندات Word ووحدات الماكرو
ستأتي رسائل البريد الإلكتروني مع مستند Microsoft Office Word محمل بماكرو. وحدات الماكرو هي برامج أو نصوص برمجية صغيرة يمكن إنشاؤها داخل Microsoft Word لأتمتة المهام المتكررة. ومع ذلك، فقد تعرضوا لإساءة استخدام شديدة على مر السنين لدرجة أن مايكروسوفت قامت بتعطيلهم افتراضيًا، خاصة بالنسبة للملفات التي تم تنزيلها من الإنترنت.
ومع ذلك، صمم المهاجمون ملفات Word بعناية حول هذه الحقيقة، وخدعوا الضحايا لتمكين وحدات الماكرو وتشغيل التعليمات البرمجية الضارة. وقال Lab52 أيضًا إن البرنامج الضار تم تصميمه لإعلام المهاجمين عندما يقوم الضحية بالفعل بتنفيذ الملف.
عندما يفعلون ذلك، فإنهم يطلقون سلسلة من ردود الفعل، بدلاً من إسقاط متغير واحد من البرامج الضارة لسرقة المعلومات، يسقط العديد من النصوص البرمجية الصغيرة وقوالب HTML.
وقد أثبتت هذه الثبات، وأعادت بناء حمولة الأوامر من الأجزاء التي تم تنزيلها، وجمعت معلومات النظام الأساسية، وقامت بتصفية النتائج عبر نموذج HTML للتقديم التلقائي.
وأوضح الباحثون أن “هذه الحملة تثبت أن البساطة يمكن أن تكون قوية”. “يستخدم المهاجم أدوات أساسية جدًا (ملفات مجمعة، ومشغلات VBS صغيرة الحجم، وHTML بسيط) ولكنه يرتبها بعناية لتحقيق أقصى قدر من التخفي: نقل العمليات إلى جلسات متصفح مخفية أو خارج الشاشة، وتنظيف العناصر، والاستعانة بمصادر خارجية لتسليم الحمولة واستخراج البيانات إلى خدمات خطاف الويب المستخدمة على نطاق واسع.”
وقد شاركت المجموعة التي تقف وراء عملية MacroMaze، APT28، بنشاط في “العملية العسكرية الخاصة” الروسية، حيث اعتدت على البنية التحتية الأوكرانية وحلفائها، حيث تنقل الحرب ضد أوكرانيا إلى الفضاء الإلكتروني.
عبر أخبار الهاكر
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات