أطلقت شركة بالو ألتو نتوركس عبر ذراعها الأمنية (الوحدة 42)، تحذيرا من أنشطة مجموعة التهديد أويلريج OilRig، التي تقف وراء عدد من الهجمات الإلكترونية الخبيثة التي بدأت منذ شهر مايو 2016. ومن التقنيات التي تتبعها الشركة برصدها لأنشطة مجموعة التهديد هذه استخدامها لمستند التسليم كلايسليد Clayslide كملفات مرفقة مع رسائل البريد الإلكتروني، بهدف قرصنة رسائل البريد الإلكتروني أثناء الهجمات منذ شهر مايو 2016. وأوضحت بالو ألتو نتوركس أن الجهات المحركة لمجموعة أويلريج تقدم لمحة حول الجهود المبذولة في سبيل التنمية والاختبار، وأظهرت قيام مجموعة التهديد أويلريغ ببذل جهودها من أجل تطوير وصقل مستندات التسليم كلايسيد. كما لاحظت الشركة مؤخرًا ظهور نسخة جديدة من مستند التسليم كلايسليد تستخدم من أجل تحميل إصدار جديد ومتخصص من البرمجية الخبيثة تروجان، يطلق عليه مبتكره اسم “ALMA Communicator”. ويحتفظ مستند التسليم هذا أيضًا بأداة جمع حسابات وبيانات الاعتماد، التي تتم بعد نجاح عملية التسلل، والتي يطلق عليها اسم ميميكاتز Mimikatz، التي يعتقد بأن الجهات المهددة ستستعين بها من أجل جمع بيانات وحسابات الاعتماد من النظام المستهدف، واستهدف الهجوم أحد موظفي شركة متخصصة في مجال خدمات المرافق العامة ضمن منطقة الشرق الأوسط. وتعمل أحدث نسخة مبتكرة بناء من مستند التسليم كلايسليد Clayslide بطريقة مشابهة لأسلافها، حيث أنها تستعرض في بادئ الأمر ورقة عمل “متناقضة” تنص على أن ملف إكسيل Excel تم إنشاؤه باستخدام إصدار أحدث من برنامج إكسيل، لذا يحتاج المستخدم إلى “تمكين المحتوى” لعرض المستند. فإذا ما قام المستخدم بالنقر فوق خيار “تمكين المحتوى”، سيقوم ماكرو خبيث بتشغيل تلك البرمجية من خلال عرض ورقة عمل مخفية تحتوي على محتويات خادعة. وتواصل مجموعة التهديد أويلريغ استخدام مستند التسليم كلايسليد Clayslide في هجماتها، كما تواصل تطوير مستندات التسليم من أجل المراوغة والتهرب من الكشف، كما تواصل مجموعة التهديد إضافة حمولات جديدة على مجموعة أدواتها باستعانتها بآخر إصدار من أداء ALMA Communicator.
