حملة تصيّد إلكتروني تستهدف طاجيكستان من قبل مجموعة TAG-110 الموالية لروسيا
كشفت مجموعة Insikt Group التابعة لشركة Recorded Future عن حملة تصيّد إلكتروني جديدة تقودها جهة التهديد الروسية المعروفة باسم TAG-110، وتستهدف جهات حكومية وتعليمية وبحثية في طاجيكستان.
وتُعد هذه الحملة تحوّلًا عن الأسلوب السابق للمجموعة، التي كانت تعتمد على ملفات HTA الضارة المعروفة باسم HATVIBE، حيث تعتمد الحملة الجديدة على قوالب Word مفعّلة بالماكرو (.DOTM) كوسيلة للوصول الأولي إلى الأجهزة المستهدفة.
الهدف من الحملة
وفقًا للتقرير، تهدف هذه العمليات إلى جمع معلومات استخباراتية قد تُستخدم للتأثير على السياسة الإقليمية أو الأمن، لاسيما خلال الفترات الحساسة مثل الانتخابات أو التوترات الجيوسياسية.
من هي TAG-110؟
تُعرف TAG-110، والتي تُدعى أيضًا UAC-0063، بأنها مجموعة تهديد نشطة منذ عام 2021 على الأقل، وتستهدف السفارات الأوروبية، بالإضافة إلى مؤسسات في وسط آسيا وشرقها، وأجزاء من أوروبا.
ووفقًا لشركة Bitdefender، فإن المجموعة قامت بحملات استهدفت كيانات حكومية في كازاخستان وأفغانستان باستخدام برمجية خبيثة تُعرف باسم DownEx أو STILLARCH.
التكتيكات الجديدة
منذ يناير 2025، رُصدت المجموعة وهي تستخدم ملفات Word مزوّدة بماكرو، تُحمل بشكل غير مباشر من خلال قالب عالمي يتم وضعه في مجلد بدء تشغيل Word، مما يسمح بالتنفيذ التلقائي عند فتح البرنامج.
هذا القالب يحتوي على ماكرو VBA ينشئ اتصالًا بخادم تحكم وسيطرة (C2)، ما قد يؤدي إلى تنفيذ تعليمات برمجية إضافية ترسل من قبل المهاجمين.
البرمجيات الضارة المحتملة
استنادًا إلى تاريخ المجموعة، يُرجّح أن يتم بعد الوصول المبدئي، تثبيت برمجيات تجسس إضافية مثل: HATVIBE، CHERRYSPY، LOGPIE، أو برمجيات مخصصة جديدة.
استنتاج
يعكس هذا التغيير في أساليب الهجوم تطورًا مستمرًا في قدرات TAG-110 وسعيها لتجاوز وسائل الحماية التقليدية، مما يستدعي تعزيز الوعي الأمني السيبراني واتخاذ التدابير الوقائية المناسبة خاصة في المؤسسات الحكومية والتعليمية.