في حملة تجسس سيبراني متطورة، استهدف الممثل التهديدي “BlindEagle” مرة أخرى المؤسسات الحكومية في كولومبيا. تركزت هذه العملية الأخيرة بشكل خاص على وكالة تابعة لوزارة التجارة والصناعة والسياحة، حيث استغلت استراتيجية فعالة لتجاوز بروتوكولات الأمان الأساسية للبريد الإلكتروني.
من خلال اختراق حساب بريد إلكتروني داخلي في المنظمة المستهدفة، أرسل المهاجمون رسائل تصيد يبدو أنها صادرة من مصدر داخلي مشروع. سمحت هذه الطريقة بتجاوز فحوصات SPF و DKIM و DMARC، مما ضمن وصول الرسائل الخبيثة إلى ضحاياها المستهدفين دون إطلاق أي إنذارات.
BlindEagle يشن هجوماً جديداً على مؤسسات كولومبية
تم صياغة رسائل التصيد لمحاكاة إشعارات رسمية من الفرع القضائي الكولومبي، وأشارت إلى دعوى قضائية عمالية ملفقة. ولدت الرسائل شعوراً بالإلحاح والخوف، وهددت باتخاذ إجراءات قانونية للضغط على المستلمين لتنزيل مرفق صورة بصيغة SVG.
هذه الحيلة الهندسية الاجتماعية دفعت الضحايا بفعالية إلى بدء عملية الإصابة. بعد هذا الاختراق الأولي، لاحظ محللو Zscaler أن سلسلة الهجوم معقدة بشكل ملحوظ، حيث تستخدم طبقات متعددة من التعتيم وخدمات الويب المشروعة لإخفاء أنشطتها.
عندما يتفاعل الضحية مع مرفق SVG، تتم إعادة توجيهه إلى بوابة ويب احتيالية تشبه إلى حد كبير موقعًا حكوميًا مشروعًا. تقوم هذه البوابة تلقائيًا بتنزيل ملف JavaScript خبيث، مما يؤدي إلى تشغيل تسلسل إصابة لا يعتمد على الملفات ويعتمد على التنفيذ في الذاكرة لتجنب اكتشافه بواسطة برامج مكافحة الفيروسات التقليدية.
آلية الإصابة المعقدة
تتضمن آلية الإصابة عملية متعددة المراحل تشمل نصوصًا برمجية متداخلة و تقنية إخفاء البيانات (steganography). تقوم مقتطفات JavaScript الأولية بإلغاء تشفير الحمولات اللاحقة باستخدام خوارزمية مخصصة.
يتم إعادة بناء الكود القابل للتنفيذ عن طريق معالجة مجموعات من الأعداد الصحيحة لبناء المرحلة التالية. يؤدي هذا التسلسل في النهاية إلى تنفيذ أمر PowerShell عبر Windows Management Instrumentation.
يقوم هذا الأمر باسترداد صورة PNG من أرشيف الإنترنت تحتوي على حمولة مخفية. الحمولة هي أداة التنزيل Caminho، وهي نسخة من برامج ضارة ذات أصل برتغالي. تم تصميم أداة التنزيل هذه لاسترداد الحمولة النهائية من عنوان URL لـ Discord CDN، على وجه التحديد ملف نصي يسمى AGT27.txt.
يتصل Caminho بعنوان URL ويفك تشفير الملف في الذاكرة. وأخيراً، يتم حقن DCRAT Remote Access Trojan في عملية MSBuild.exe تم “تفريغها”. تمنح هذه الخطوة النهائية المهاجمين قدرات واسعة، بما في ذلك تسجيل ضربات المفاتيح وتسريب البيانات، مما يمنحهم السيطرة الكاملة على النظام المخترق مع التخفي داخل عملية Windows موثوقة.