رصدت شركة BlueVoyant هجوماً جديداً نفذته مجموعة التهديد السيبراني UAC-0050، المعروفة أيضاً باسم DaVinci Group، ضد مؤسسة مالية أوروبية تعمل في مجال التنمية وإعادة الإعمار. الهجوم استهدف مستشاراً قانونياً وسياسياً رفيع المستوى له دور محوري في المشتريات، ما يمنح المهاجمين نافذة على العمليات المالية والآليات المؤسسية.
الهجوم اعتمد على انتحال نطاق قضائي أوكراني لإرسال بريد إلكتروني يحتوي على رابط يؤدي إلى حمولة وصول عن بُعد.
سلسلة إصابة متعددة الطبقات
البريد الاحتيالي قاد الضحية إلى تنزيل ملف مضغوط عبر خدمة PixelDrain، يتضمن سلسلة معقدة من الأرشيفات المحمية بكلمات مرور، وصولاً إلى ملف تنفيذي يتظاهر بأنه مستند PDF باستخدام خدعة الامتداد المزدوج (*.pdf.exe).
عند تشغيل الملف، يتم تثبيت برنامج Remote Manipulator System (RMS)، وهو برنامج روسي شرعي للتحكم عن بُعد يُستخدم هنا كأداة وصول مستمرة ومتخفية، قادرة على مشاركة سطح المكتب ونقل الملفات، مع صعوبة اكتشافه عبر أنظمة مكافحة الفيروسات التقليدية.
ارتباط بالعمليات السابقة وتوسّع في الأهداف
استخدام RMS يتماشى مع أسلوب عمل المجموعة التي سبق أن نشرت برامج وصول شرعية مثل LiteManager وأحصنة طروادة مثل RemcosRAT في هجمات ضد أوكرانيا.
وفقاً لفريق الاستجابة الطارئة الأوكراني CERT-UA، تُعتبر المجموعة كياناً مرتزقاً مرتبطاً بأجهزة إنفاذ القانون الروسية، وتعمل تحت اسم Fire Cells في جمع البيانات، سرقة الأموال، وتنفيذ عمليات معلوماتية ونفسية.
الجديد في هذا الهجوم أنه يشير إلى توسع محتمل في نطاق الاستهداف ليشمل مؤسسات داعمة لأوكرانيا في أوروبا الغربية، وليس فقط داخل أوكرانيا.
السياق الأوسع للهجمات الروسية
يأتي هذا الكشف في وقت تتزايد فيه الهجمات الروسية على البنية التحتية للطاقة في أوكرانيا، حيث تركز بشكل متزايد على جمع المعلومات الاستخبارية لتوجيه الضربات الصاروخية بدلاً من تعطيل العمليات فوراً.
كما أشار تقرير CrowdStrike السنوي إلى أن مجموعات مرتبطة بروسيا مثل APT29 (Cozy Bear) تواصل استغلال الثقة والمصداقية المؤسسية في حملات تصيّد تستهدف منظمات غير حكومية وكيانات قانونية في الولايات المتحدة، مستخدمة حسابات بريد إلكتروني مخترقة وقنوات اتصال بديلة لتعزيز المصداقية.
