APT28 كتنشر مجموعة "PRISMEX" الخبيثة فـ حملة متطورة ضد أوكرانيا وحلف الناتو
APT28 Deploys PRISMEX Malware in Campaign Targeting Ukraine and NATO Allies
APT28 كتنشر مجموعة "PRISMEX" الخبيثة فـ حملة متطورة ضد أوكرانيا وحلف الناتو
خلاصة (TL;DR)
مجموعة APT28 (المعروفة بـ Forest Blizzard ولا Pawn Storm) اللي تابعة للاستخبارات الروسية، كدير حملة "Phishing" (صيد احتيالي) مركزة، كتستعمل فيها مجموعة جديدة ديال البرامج الخبيثة سميتها PRISMEX. هاد العملية كتستهدف أوكرانيا والحلفاء ديالها فـ الناتو، وكتستغل ثغرات أمنية من نوع "Zero-day" (ثغرات CVE-2026-21509 و CVE-2026-21513) باش تنشر برامج مصممة للتجسس وحتى للتخريب (Sabotage).
نظرة عامة على حملة PRISMEX
الباحثين فـ شركة Trend Micro كشفوا على حملة جديدة ديال "Spear-phishing" مرتبطة بالمجموعة الروسية المعروفة APT28. هاد الحملة بدا الخدام ديالها من شتنبر 2025 على الأقل، وجايبة معاها مجموعة ديال البرامج الضارة اللي ما كانتش معروفة من قبل ولقبوا عليها بسمية PRISMEX.
على حساب الباحثين "Feike Hacquebord" و "Hiroyuki Kakara"، هاد PRISMEX هي واحد الـ "Toolkit" (حقيبة أدوات) متطورة بزاف، كتستعمل تقنيات الـ Steganography (إخفاء البيانات وسط التصاور)، وتقنية COM hijacking، وكتستغل خدمات السحاب (Cloud services) القانونية باش تتحكم فـ الأجهزة الضحية (C2).
الاستهداف الاستراتيجي: الطاقة، اللوجستيك، والدفاع
هاد الحملة عندها هدف استراتيجي واضح، وهو تهرس سلاسل الإمداد والتخطيط العملياتي ديال أوكرانيا والشركاء الدوليين ديالها. القطاعات اللي تقاست هي:
- أوكرانيا: الهيئات التنفيذية المركزية، الدفاع، خدمات الطوارئ، الأرصاد الجوية، وخدمات الطقس.
- بولونيا (Poland): اللوجستيك ديال السكك الحديدية.
- رومانيا، سلوفينيا، وتركيا: قطاعات الشحن البحري والنقل.
- سلوفاكيا والجمهورية التشيكية: الشركاء اللي كيدعموا بالخدمات اللوجستية فـ مبادرات الذخيرة.
- دولياً: بزاف ديال الشركاء العسكريين وحلف الناتو.
شركة Trend Micro كتقول بلي التركيز على خدمات الطقس والممرات الإنسانية كيعني بلي كاين تحول نحو "تعطيل العمليات" اللي يقدر يكون تمهيد لهجمات تخريبية أكبر (سواء سيبرانية ولا على أرض الواقع).
استغلال ثغرات الـ Zero-Days
واحد الحاجة اللي ميزة هاد الحملة هي السرعة باش استغلت APT28 ثغرات أمنية يلاه تكتشفات. كاين أدلة كتقول بلي هاد المجموعة كانت عارفة هاد العيوب قبل ما تخرج للعلن:
- CVE-2026-21509: البنية التحتية اللي كتستغل هاد الثغرة رصدوها فـ 12 يناير 2026، يعني سيمانتين قبل ما يتعلن عليها رسمياً.
- CVE-2026-21513: تم الاستغلال ديالها كـ "Zero-day" عن طريق ملف Microsoft Shortcut (LNK) ملغوم تلاح فـ VirusTotal نهار 30 يناير 2026، قبل بزاف ما تخرج Microsoft التحديث الأمني (Patch) نهار 10 فبراير 2026.
الباحثين كيظنوا بلي هاد "الهكرز" كيربطوا هاد الثغرات بجوج باش يديروا هجوم من مرحلتين. الثغرة الأولى كتفرض على السيستم يجيب الملف الملفوف LNK، اللي بدورو كيستغل الثغرة الثانية باش يتجاوز تحذيرات الأمان وينفذ البرامج الخبيثة بلا ما يعيق بيه حد.
مجموعة برامج PRISMEX الخبيثة
مجموعة PRISMEX كتستعمل الـ Steganography باش تخبي الملفات الخبيثة وسط تصاور، هادشي كيخلي الكشف عليها صعيب بزاف. هاد المجموعة فيها أجزاء مترابطة:
- PrismexSheet: ملف Excel ملغوم كيخدم بـ VBA macros. كيستعمل تقنية إخفاء البيانات باش يخرج الملفات اللي فيه، وكيثبت راسو فـ السيستم عبر COM hijacking. غالباً كيبين للضحية دوكيمون "تمويهي" كيهضر على أثمنة وجرد ديال طيارات "الدرون".
- PrismexDrop: برنامج كيوحد الطريق فـ لجهاز ديال الضحية وكيستعمل "Scheduled tasks" و "COM DLL hijacking" باش يبقى خدام واخا يطفا الجهاز ويشعل.
- PrismexLoader (PixyNetLoader): هاد الجزء كيخرج واحد الملف (Payload) ديال .NET مخبي وسط تصويرة PNG (سميتها "SplashScreen.png") باستعمال واحد الخوارزمية ديالهم سميتها "Bit Plane Round Robin". هاد الملف كيخدم غي فـ الذاكرة (Memory) بوحدها.
- PrismexStager: برنامج من نوع COVENANT Grunt كيستغل خدمة التخزين السحابي Filen.io باش يتواصل مع سيرفرات التحكم (C2) ديال الهكرز.
بالإضافة لـ PRISMEX، لقاو APT28 كتستعمل حتى MiniDoor (شفار ديال إيميلات Outlook) و NotDoor (المعروف بـ GONEPOSTAL)، وهو "Backdoor" بان أول مرة فـ أواخر 2025.
من التجسس للتخريب
هاد الحملة ما حابساش غي فـ شفرة المعلومات. فـ أكتوبر 2025، الباحثين اكتشفوا ملف (Payload) ديال COVENANT Grunt فيه أمر تخريبي من نوع "Wiper" مصمم باش يمسح كاع الملفات اللي كاين فـ الدليل %USERPROFILE%. هاد القدرة المزدوجة كتعني بلي APT28 واجدة باش تتحول من جمع المعلومات للتخريب المباشر فـ أي لحظة.
خلاصة
الظهور ديال PRISMEX كيبين كيفاش تطورت الأساليب ديال APT28. من خلال دمج استغلال ثغرات الـ zero-day مع تقنيات التخفي وسط التصاور واستغلال السحاب، هاد المجموعة بقات كتشكل خطر كبير على الأمن الأوروبي ودفاعات أوكرانيا. وكيفما قالت Trend Micro، "Pawn Storm" باقية وحدة من أخطر المجموعات المرتبطة بروسيا، وهدفها الواضح هو ضرب العمود الفقري اللوجستي ديال الدعم اللي كيعطيه الناتو لأوكرانيا.
المصدر: https://thehackernews.com/2026/04/apt28-deploys-prismex-malware-in.html