UAC-0247 وAgingFly: هجوم يسرق بيانات Chrome وWhatsApp بمواقع ذكاء اصطناعي — تحذير عاجل للمؤسسات المالية السعودية

كشفت فرقة الاستجابة لطوارئ الحاسوب في أوكرانيا (CERT-UA) عن حملة هجومية متطورة يشنّها تجمع التهديدات UAC-0247، تستخدم برمجيات خبيثة قادرة على سرقة كلمات مرور Chrome وبيانات WhatsApp وبيانات اعتماد الشبكة الداخلية — مستعينةً بمواقع تصيد مُنشأة بالذكاء الاصطناعي تحاكي الجهات الرسمية بدقة مقنعة. التقنيات المستخدمة في هذه الحملة ليست حكراً على الحكومات؛ فهي تمثل خطراً مباشراً على أي موظف في مؤسسة مالية يستخدم Chrome أو WhatsApp في عمله اليومي.

كيف يبدأ الهجوم: رسالة مُصمَّمة بالذكاء الاصطناعي تخدع حتى المتخصصين

يبدأ الهجوم برسالة بريد إلكتروني تدّعي تقديم مساعدات أو إشعاراً رسمياً، تُوجّه الضحية نحو رابط يؤدي إلى موقع شرعي مخترق يحتوي ثغرة XSS، أو موقع مزيف مُنشأ بأدوات الذكاء الاصطناعي يحاكي مظهر الجهات الرسمية بلا أخطاء لغوية ولا روابط مكسورة — وهو ما يبطل المعيار التقليدي في تمييز التصيد. عند النقر، يُنزَّل ملف LNK (اختصار Windows)، يُشغّل بدوره أداة mshta.exe الأصلية في Windows لتنفيذ تطبيق HTML بعيد (HTA). هذا الأسلوب — المعروف بـ Living-off-the-Land — يتجاوز كثيراً من حلول الأمن القائمة على التوقيع لأنه يستخدم أدوات مشروعة مدمجة في نظام التشغيل.

السلاح الأخطر: ChromElevator يكسر حماية Google الجديدة للمتصفح

الأداة الأكثر إثارة للقلق في هذه الحملة هي ChromElevator، المصممة تحديداً لتجاوز حماية App-Bound Encryption التي أطلقتها Google في Chrome 127 عام 2024 كحاجز أمام سرقة الجلسات والكوكيز. ChromElevator ترفع صلاحياتها خفيةً وتستخرج الكوكيز وكلمات المرور المحفوظة مباشرةً من قاعدة بيانات Chrome المشفرة. بمعنى عملي: كل موظف يحفظ كلمات مرور بوابات الإنترنت البنكي أو أنظمة الحوالات أو بوابات SWIFT في Chrome معرّض لسرقة هذه البيانات كاملةً دون أي تفاعل إضافي منه. وتُكمل أداة ZAPiXDESK المشهد بفك تشفير قاعدة بيانات WhatsApp المحلية وسرقة المراسلات والملفات المشتركة.

المنظومة الكاملة: استطلاع، تحرك جانبي، نفق مشفر، وتعدين

لا تقتصر الحملة على سرقة البيانات المحلية، بل تُنشئ منظومة هجوم متكاملة ومستدامة. يُستخدم Web RustScan لمسح الشبكة الداخلية وتعداد الأصول والمنافذ المفتوحة، بينما تؤسس أداتا Ligolo-Ng وChisel نفقاً مشفراً يتجاوز جدران الحماية ويمنح المهاجم وصولاً دائماً. برنامج SILENTLOOP يتلقى الأوامر من خادم C2 يُحدَّث عنوانه IP عبر قناة Telegram مخصصة، مما يجعل حجب النطاقات الثابتة غير كافٍ. وفي مرحلة الاستثمار المادي، يُنشر XMRig لتعدين Monero، مما يشير إلى أن المجموعة لا تكتفي بالتجسس بل تُحوّل كل اختراق إلى مصدر دخل مستمر.

التأثير على المؤسسات المالية السعودية وما يستوجبه إطار SAMA CSCC

قد تبدو حملة UAC-0247 موجهة جغرافياً نحو أوكرانيا، لكن الأدوات الأساسية — ChromElevator وZAPiXDESK وLigolo-Ng — متاحة علناً، ما يجعل تبنيها من جماعات إجرامية تستهدف القطاع المالي الخليجي مسألة وقت لا احتمال. في بيئة المؤسسات المالية السعودية الخاضعة لإطار SAMA CSCC، يستوجب هذا النوع من التهديدات المعالجة على ثلاثة محاور: أولاً، ضبط سياسة إدارة كلمات المرور وفق متطلب Domain 4.3 (Identity and Access Management) بحيث لا تُحفظ بيانات الاعتماد في المتصفح. ثانياً، رصد تشغيل mshta.exe من حسابات المستخدمين العاديين كمؤشر اختراق (IoC) عبر SIEM وفق NCA ECC-2:1-2. ثالثاً، تطبيق ضوابط قائمة على التحليل السلوكي (UEBA) للكشف عن أنماط الوصول غير الاعتيادية لقواعد بيانات Chrome قبل أن تُستخرج.

التوصيات والخطوات العملية

1. حظر حفظ كلمات المرور في المتصفحات المؤسسية: فعّل Group Policy لمنع Chrome وEdge من تخزين كلمات مرور الأنظمة الحساسة، وفرض استخدام مدير كلمات مرور مؤسسي مدمج مع IdP مع تفعيل MFA.
2. رصد وتقييد mshta.exe خارج السياق الموثق: أضف قاعدة في EDR/SIEM تُنبّه فوراً أو تُوقف تنفيذ mshta.exe من حسابات موظفين عاديين أو من مسارات Temp وAppData.
3. تدريب متخصص على التصيد بالذكاء الاصطناعي: ركّز التدريب على التحقق من الدومين والشهادة الرقمية والـ WHOIS لا على المظهر البصري للموقع، إذ إن مواقع AI لا تحتوي أخطاء تصميمية.
4. مراجعة سياسة WhatsApp على الأجهزة المؤسسية: قيّد تثبيت WhatsApp على الأجهزة المرتبطة بالأنظمة الداخلية، أو عزله في حاوية MDM منفصلة لا تصل إلى بيانات اعتماد الشبكة.
5. اختبار ChromElevator ضمن Red Team الدوري: اطلب من فريق اختبار الاختراق محاكاة سيناريو استخراج كوكيز Chrome للتحقق من أن حلول EDR الحالية تكتشف هذا النوع من الهجمات.
6. مراقبة الاتصالات الصادرة عبر Telegram: فعّل فحص DNS وProxy للكشف عن الاتصالات الصادرة نحو خوادم Telegram API من الشبكة الداخلية كمؤشر احتمالي لوجود C2 نشط.

الخلاصة

حملة UAC-0247 تُثبت مجدداً أن التهديد السيبراني الأكثر فاعلية اليوم لا يكسر الجدران — بل يُلبس ثياب المستخدم الشرعي ويمشي من الباب الأمامي. أدوات كـ ChromElevator وZAPiXDESK تجعل من كل جلسة متصفح أو محادثة WhatsApp نقطة خسارة محتملة، خاصة في مؤسسة مالية تتعامل يومياً مع بيانات العملاء وأوامر الدفع وإجراءات KYC. المؤسسات التي تعتمد فقط على حلول الحماية القائمة على التوقيع دون تحليل سلوكي ستجد نفسها أمام اختراق غير مكتشف قد يستمر لأسابيع.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.