حملة Ghostwriter تستهدف حكومة أوكرانيا ببرمجية Prometheus الخبيثة

مقدمة تحليلية

أصدر فريق الاستجابة لطوارئ الحاسوب في أوكرانيا CERT-UA تحذيراً عاجلاً يكشف عن نشاط سيبراني مكثف لمجموعة التهديد المتقدم المستمر Ghostwriter (المعروفة أيضاً باسم UAC-0057 و UNC1151) الموالية لبيلاروسيا. استهدفت الحملة المكتشفة، والنشطة منذ ربيع عام 2026، الهيئات الحكومية الأوكرانية عبر استغلال الهوية البصرية والاسمية لمنصة التعليم الشهيرة عبر الإنترنت Prometheus في البلاد.

لا يقتصر الخطر في هذه الحملة على محاولة اختراق عابرة، بل يتعداه إلى مستوى التخفي الشديد والاعتماد على حسابات بريد إلكتروني مخترقة بالفعل لإرسال رسائل التصيد الاحتيالي، مما يمنحها موثوقية عالية تخدع أنظمة التصفية التقليدية والموظفين الحكوميين على حد سواء. تشير الأنماط المكتشفة إلى أن المهاجمين سعوا لبناء موطئ قدم مستدام داخل الشبكات الحساسة، مستغلين حاجة المؤسسات للتدريب والتعليم الرقمي في هذه الظروف الجيوسياسية المعقدة.

التحليل التقني

تبدأ سلسلة الهجوم بإرسال بريد إلكتروني تصيدي من حساب مخترق، يحتوي على ملف PDF كملف مرفق. عند قيام الضحية بفتح الملف والنقر على الرابط المدرج بداخله، يتم توجيهه لتحميل أرشيف مضغوط بصيغة ZIP يحتوي على ملف JavaScript خبيث يسمى OYSTERFRESH. بمجرد تنفيذ هذا الملف، تبدأ عملية التسلل عبر عدة مراحل صُممت بعناية لتجاوز جدران الحماية:

• آلية التمويه (Decoy Mechanism): يقوم ملف OYSTERFRESH بعرض وثيقة وهمية خالية من الضرر أمام الضحية لصرف الانتباه وتجنب إثارة الشكوك حول حدوث نشاط مريب.
• حقن الريجستري والكتابة الخفية: بالتزامن مع عرض الوثيقة الوهمية، يقوم النص الخبيث بكتابة حمولة مشفرة ومموهة تسمى OYSTERBLUES مباشرة داخل سجل نظام التشغيل Windows Registry لتجنب تخزين ملفات تنفيذية على القرص الصلب (Fileless Attack).
• تنزيل أداة فك التشفير: يقوم المهاجم بتنزيل وتشغيل برمجية تسمى OYSTERSHUCK، والتي تقتصر مهمتها التقنية على قراءة الحمولة المشفرة OYSTERBLUES من الريجستري وفك تشفيرها وتشغيلها في الذاكرة.

بمجرد فك تشفير البرمجية الرئيسية OYSTERBLUES، تبدأ مرحلة التجسس التقني وجمع المعلومات الحساسة عن النظام المستهدف. تقوم البرمجية بالمهام التالية وتجميع البيانات لإرسالها إلى خادم التحكم والسيطرة C2 عبر طلبات HTTP POST مشفرة:

• اسم جهاز الكمبيوتر المستهدف (Computer Name).
• اسم حساب المستخدم النشط على النظام (User Account).
• إصدار نظام تشغيل ويندوز (OS Version).
• توقيت آخر عملية إقلاع للنظام (Last OS Boot Time).
• قائمة كاملة بجميع العمليات النشطة والبرامج قيد التشغيل (Running Processes).

بعد تسليم هذه البيانات، تنتظر البرمجية استجابة من خادم C2 تحتوي على أكواد JavaScript إضافية للمرحلة التالية، والتي يتم تنفيذها بشكل ديناميكي عبر الذاكرة باستخدام دالة eval() الشهيرة في JavaScript. تنتهي هذه السلسلة المعقدة بتحميل وتنفيذ إطار العمل الاختراقي Cobalt Strike، وهو ما يمنح المهاجمين سيطرة كاملة وقدرة على التحرك الجانبي داخل الشبكة المستهدفة.

السياق وتأثير السوق

تأتي هذه الحملة التقنية بالتزامن مع كشف مجلس الأمن القومي والدفاع الأوكراني عن تحول نوعي في التكتيكات السيبرانية الروسية؛ حيث تم رصد استخدام مكثف لأدوات الذكاء الاصطناعي التوليدي مثل OpenAI ChatGPT و Google Gemini لاستطلاع واكتشاف الأهداف المحتملة، وتطوير برمجيات خبيثة قادرة على كتابة وتوليد أوامر برمجية ضارة أثناء وقت التشغيل (Runtime Command Generation) لتجنب آليات الكشف السلوكي القائمة على البصمات الثابتة.

تشير التحليلات التاريخية إلى أن الهجمات لم تعد تقتصر على التدمير الفوري للبيانات، بل تركز بشكل أساسي على التجسس المستدام طويل المدى. تم تحديد ناقلات الاختراق الرئيسية في عام 2025 و 2026 في تقنيات الهندسة الاجتماعية، واستغلال ثغرات الأنظمة غير المرقعة، واستخدام حسابات RDP و VPN مسروقة، بالإضافة إلى اختراق سلاسل التوريد البرمجية وزرع أبواب خلفية في البرمجيات المقرصنة والغير مرخصة التي يتم تحميلها على الأنظمة الحكومية.

يمتد هذا الصراع السيبراني المعقد إلى منصات التواصل الاجتماعي ومجالات التأثير النفسي؛ حيث تم رصد حملة تضليلية واسعة منسوبة لشركة Social Design Agency الروسية (المعروفة بحملات Matryoshka)، اعتمدت على اختراق حسابات حقيقية لصحفيين وأكاديميين على منصة Bluesky لنشر أخبار ومحتويات مزيفة وموجهة بهدف زعزعة الاستقرار وزرع الشكوك في الروايات الرسمية الحكومية.

رؤية Glitch4Techs

تثبت حملة Ghostwriter الأخيرة أن مشهد التهديدات السيبرانية يسير في مسار شديد التعقيد من حيث استخدام تقنيات انعدام الملفات (Fileless Attacks) واستغلال ثقة المستخدمين في المنصات التعليمية والمحلية الموثوقة. إن استخدام سجل النظام Windows Registry كمستودع مؤقت للحمولات الخبيثة يصعّب مهمة حلول الحماية التقليدية Antivirus التي تبحث عن الملفات الضارة التقليدية على القرص الصلب.

ترى منصتنا أن الدفاع الرقمي الفعال يتطلب الانتقال الفوري نحو سياسات صفر ثقة (Zero Trust Architecture) وتطبيق التوصيات الدفاعية الصارمة التي أصدرتها وكالة CERT-UA. يجب على المؤسسات الحكومية والخاصة تطبيق قيود مشددة تمنع تشغيل المحركات البرمجية الافتراضية مثل wscript.exe و cscript.exe للمستخدمين العاديين، وتقييد حزم JavaScript التي تعمل خارج المتصفح بشكل كامل لمنع تحول محطات العمل الفردية إلى نقاط وصول أولية لمهاجمي الدول المتقدمة.