كشف فريق متخصص في الأمن السيبراني عن برمجية خبيثة جديدة من نوع “حصان طروادة الوصول عن بعد” (RAT) غير معروفة سابقًا، تحمل اسم “Auraboros C2″، والتي تتيح وصولاً مفتوحًا وشاملاً لبيانات الضحايا، وإمكانيات مراقبة حية، وسرقة معلومات المتصفح. يمثل هذا الكشف خطورة متزايدة في مشهد التهديدات الرقمية.
من اللافت للنظر أن لوحة التحكم الخاصة بالبرمجية الخبيثة تعمل بالكامل عبر بروتوكول HTTP العادي، بدون أي شكل من أشكال تسجيل الدخول، أو رموز وصول، أو آليات مصادقة، مما يجعل بيانات الضحايا متاحة لأي شخص لديه القدرة على الوصول إلى المنفذ الخاص بالخادم.
تم اكتشاف لوحة التحكم الخاصة بالبرمجية الخبيثة “Auraboros C2” وهي مستضافة على خادم تابع لشركة DigitalOcean، وعنوان IP الخاص بها هو 174.138.43[.]25، وتعمل على المنفذ 5000 باستخدام واجهة خلفية مبنية على Express.js و Socket.io. كانت واجهة المستخدم مصممة باللغة البرتغالية البرازيلية، وتحمل شعار “Auraboros Advanced Defense Systems”، وتتميز بتصميم أنيق وداكن مع تخصيص لملفات CSS و JavaScript، مما يعطي انطباعاً احترافياً.
تفاصيل وكيفية عمل حصان طروادة Auraboros C2
رغم المظهر الاحترافي للوحة التحكم، لم يتم تطبيق أي إجراءات أمنية للحد من الوصول إلى وظائف الإدارة أو بيانات الضحايا. يمكن تنزيل شفرة JavaScript المصدرية الكاملة، والتي يبلغ حجمها 84 كيلوبايت، بسهولة من قبل أي زائر، مما يكشف عن البنية الكاملة للإطار البرمجي.
تمكن محللو وباحثو “Breakglass Intelligence”، بناءً على بلاغ من باحثين أمنيين، من تحديد عمل لوحة التحكم “Auraboros C2” بعد ملاحظتها على وسائل التواصل الاجتماعي. قام الباحثون بتنزيل مصدر اللوحة، والاتصال بنقل Socket.io في الوقت الفعلي، واستكشاف مجموعة الأوامر الكاملة دون الحاجة إلى أي بيانات اعتماد.
أكدت تحليلاتهم أن الإطار البرمجي مصمم خصيصًا ولم يظهر في أي تقرير استخباراتي سابق، أو استشارة من البائعين، أو بحث منشور. يمتلك الإطار البرمجي مجموعة واسعة من القدرات التي تستهدف أنظمة ويندوز، بما في ذلك التقاط لقطات الشاشة، وتسجيل ضغطات المفاتيح، وسرقة محتوى الحافظة، وسرقة كلمات مرور Wi-Fi، وتصفح الملفات، وتنفيذ أوامر Shell عشوائية، وإحصاء العمليات، ومسح المنافذ، وتقديم وكيل SOCKS5 عكسي، وتحديثات الوكيل عن طريق الهواء (OTA)، ومحرك مخصص لسرقة ملفات تعريف الارتباط.
من جانب آخر، كشفت ست نقاط نهاية واجهة برمجة تطبيقات (API) غير مصرح بها عن قوائم التتبع، ونتائج الأوامر، وسجلات الأحداث، وتدفقات تسجيل ضغطات المفاتيح الحية، وبيانات اعتماد المتصفح المسروقة لأي شخص على الشبكة. يقوم نقل Socket.io ببث جميع نتائج الأوامر في الوقت الفعلي لجميع العملاء المتصلين، دون عزل للجلسات.
وخلال التحقيق، تم العثور على جهاز واحد مسجل، يبدو أنه جهاز اختبار خاص بالمطور، يحمل اسم “DESKTOP-FVPFLD2” واسم مستخدم “LabCasa”، وهو ما يعني “المختبر المنزلي” باللغة البرتغالية. كان الجهاز يعمل بعملية تسمى “DiskIntegrityScanner.exe” على جهاز كمبيوتر محمول من نوع Lenovo يقع في غويانيا، البرازيل. كان هذا الجهاز غير نشط لمدة خمسة أيام وقت الاكتشاف، ولم تظهر عليه أي كلمات مرور محفوظة، مما يؤكد أنه كان إعدادًا نظيفًا للمختبر تم استخدامه أثناء التطوير.
تقنيات الوصول الخفي وسرقة البيانات
من أبرز الجوانب التقنية لـ “Auraboros” هي طريقة توزيع وإخفاء البرمجية الخبيثة على جهاز الضحية. فبدلاً من نشر ملف تنفيذي مستقل، يستخدم الإطار البرمجي تقنية “DLL sideloading”، حيث يتم استخدام ملف تنفيذي نظيف وغير ضار ظاهريًا، يسمى “DiskIntegrityScanner.exe”، كعملية مضيفة.
عند تشغيل هذا الملف، يتم تحميل ملف DLL خبيث يقوم فورًا بتنفيذ روتين “CollectData”، والذي يجمع اسم الجهاز، واسم المستخدم، ومستوى الامتيازات للجهاز، قبل التسجيل لدى خادم التحكم والقيادة (C2). تتيح هذه التقنية للبرمجية الخبيثة الاختباء خلف عملية تبدو شرعية في قائمة مهام ويندوز، مما يجعل اكتشافها أكثر صعوبة أثناء المراقبة الروتينية.
تستهدف آلية سرقة بيانات الاعتماد متصفحات Brave و Chrome باستخدام واجهة برمجة تطبيقات حماية البيانات (DPAPI) الخاصة بويندوز. تقوم البرمجية الخبيثة بتحديد مسار ملف تعريف AppData الخاص بالمتصفح، واستعادة المفتاح الرئيسي المشفر، وفك تشفيره باستخدام دالة Windows CryptUnprotectData، ثم نسخ قاعدة بيانات SQLite الخاصة بتسجيل الدخول للاستعلام عن كلمات المرور وملفات تعريف الارتباط المخزنة.
خلال الاختبارات، قام المطور بتشغيل أمر استخراج بيانات Brave 18 مرة في جلسة واحدة بعد الظهر، مما يشير إلى وجود تصحيح نشط لمنطق فك تشفير DPAPI. ومن ثم، تقوم “آلية انتحال ملفات تعريف الارتباط” بأخذ ملفات تعريف الارتباط المسروقة، وإنشاء برنامج نصي لمحاكاة الجلسة، وتوجيه حركة المرور عبر نفق وكيل SOCKS5 الخاص بالضحية، بحيث يبدو متصفح المهاجم وكأنه صادر من عنوان IP الخاص بالضحية أثناء محاولات الاستيلاء على الحساب.
في ضوء هذه الاكتشافات، ينبغي على المؤسسات وفرق الأمن اتخاذ خطوات فورية. يُنصح بحظر عنوان IP 174.138.43[.]25 على حدود الشبكة على الفور. كما يجب البحث عن وجود ملف “DiskIntegrityScanner.exe” على جميع نقاط النهاية، حيث إنه ليس ملفاً قياسياً في نظام ويندوز. يُنصح أيضاً بمراقبة الاتصالات الصادرة إلى المنفذ 9000 على عناوين IP المستضافة على DigitalOcean، والذي يقدر بأنه منفذ استدعاءات الجهة الضارة. يجب إعداد تنبيهات لأنشطة وكيل SOCKS5 العكسي على المنفذ 1080. ويُشجع على الإبلاغ عن البنية التحتية لفريق إساءة الاستخدام في DigitalOcean عبر البريد الإلكتروني [email protected]. بالإضافة إلى ذلك، يجب البحث عن طلبات استطلاع Socket.io الموجهة إلى منافذ غير قياسية، والتي قد تشير إلى سلوك نشط لإصابات C2.