كشف تقرير حديث عن ظهور برمجية خبيثة جديدة تُعرف باسم “Speagle”، والتي تشكل تهديداً صريحاً للمؤسسات التي تعتمد على منصة Cobra DocGuard لتأمين المستندات وتشفيرها. تستغل هذه البرمجية الخبيثة المنصة المستهدفة للتستر على عمليات سرقة البيانات الحساسة.
تتميز “Speagle” بقدرتها على الاندماج في بيئة النظام التي تصيبها، مستخدمةً البرمجيات الشرعية كغطاء لعملياتها العدوانية. الأمر اللافت هو أنها لا تكتفي بجمع معلومات النظام العامة، بل تبحث بنشاط عن مستندات ذات طبيعة حساسة للغاية، بما في ذلك تلك المتعلقة بالصواريخ الباليستية الصينية.
برمجية Speagle الخبيثة تستهدف منصة Cobra DocGuard
تتمتع منصة Cobra DocGuard بتاريخ غير مشرق فيما يتعلق بالأمن. ففي سبتمبر 2022، استغل مهاجمون هذه المنصة في هجوم سلسلة توريد استهدف شركة قمار في هونغ كونغ. ولم يقتصر الأمر على ذلك، بل شهد أغسطس 2023 استغلال جهة تهديد معروفة باسم Carderbee للمنصة ذاتها لتوزيع برمجية التجسس Korplug (المعروفة أيضاً باسم PlugX) ضد منظمات في هونغ كونغ وأجزاء من آسيا.
هذا النمط المتكرر جعل من Cobra DocGuard هدفاً مستمراً للمهاجمين الذين يسعون لاستغلال البرمجيات الموثوقة واسعة الانتشار كنقطة دخول إلى بيئات الضحايا.
تحليل برمجية Speagle الخبيثة
حدد محللو Symantec برمجية “Speagle” على أنها ملف تنفيذي يعتمد على .NET ويعمل فقط على الأنظمة التي تم تثبيت Cobra DocGuard عليها. ويعتقد الباحثون أن الجهة الفاعلة وراء هذه البرمجية، والتي أطلق عليها اسم Runningcrab، قد تكون جهة حكومية أو متعاقد خاص ماهر، نظراً للاستهداف المتعمد لمستخدمي Cobra DocGuard وتركيزها على المستندات الدفاعية.
لا يزال ناقل العدوى غير مؤكد، ولكن المؤشرات الأولية تشير إلى احتمال وقوع هجوم سلسلة توريد. تستخدم البرمجية الخبيثة برنامج تشغيل شرعي من Cobra DocGuard، وهو FileLock driver، لحذف نفسها بعد إكمال عملياتها، وهو سلوك يتوافق مع البرمجيات الخبيثة التي يتم إخفاؤها في تحديثات البرامج.
من جهة أخرى، قامت Runningcrab باختراق خادم Cobra DocGuard شرعي تابع للمؤسسة المستهدفة واستخدمته كبنية تحتية للقيادة والتحكم. من خلال توجيه البيانات المسروقة عبر خادم تتواصل معه الضحية يومياً، جعل المهاجم حركة مرور البيانات تبدو طبيعية تماماً. يكشف هذا المستوى من التخطيط عن جهة فاعلة ذات موارد جيدة وتتمتع بمعرفة مسبقة ببيئة الضحية.
آلية جمع البيانات وسرقتها
بمجرد التأكد من تثبيت Cobra DocGuard، تبدأ “Speagle” عملية منظمة متعددة المراحل لجمع البيانات. في المرحلة الأولى، تجمع اسم المستخدم الخاص بالجهاز، واسم المضيف، ومعرفات عملاء Cobra DocGuard الفريدة المخزنة في ملفات التكوين المحلية. إذا لم يتم العثور على معرف عميل صالح، تقوم البرمجية الخبيثة بتشغيل روتين الحذف الذاتي وتخرج دون سرقة أي بيانات.
في المرحلة الثانية، تستخدم “Speagle” استعلامات Windows Management Instrumentation (WMI) لسحب تفاصيل حول العمليات الجارية، واتصالات الشبكة، والخدمات المثبتة، والمهام المجدولة، وقواعد جدار الحماية. كما أنها تقوم بمسح للملفات والمجلدات عبر محركات الأقراص المتصلة لبناء صورة لمحتويات الجهاز المخترق.
تستهدف المرحلة الثالثة بيانات المتصفح، بما في ذلك سجل التصفح، والإدخالات التلقائية، والملفات التي تم تنزيلها، والإشارات المرجعية، واختصارات البحث من الدلائل التي تستخدمها المتصفحات المستندة إلى Chromium.
تمتلك إحدى النسخ قدرة إضافية تتمثل في البحث بشكل خاص عن مستندات باستخدام كلمات مفتاحية باللغة الصينية تتعلق بتقنيات الدفاع. تشمل هذه المصطلحات كلمات مثل “صاروخ باليستي”، “فوق صوتي”، “رأس حربي”، “Dongfeng”، و”Changjian”، والتي تشير إلى أنظمة صواريخ صينية محددة.
بعد كل مرحلة جمع، تقوم “Speagle” بضغط البيانات باستخدام خوارزمية Deflate، وتشفيرها باستخدام AES-128 في وضع CBC، ثم إرسالها عبر طلبات HTTP POST إلى خادم Cobra DocGuard مختلف تم اختراقه مسبقاً.
توصيات للمؤسسات
يجب على المؤسسات التي تستخدم Cobra DocGuard تدقيق حركة مرور الشبكة الصادرة فوراً بحثاً عن اتصالات غير متوقعة بعناوين IP محددة. يجب تحديث أدوات اكتشاف نقاط النهاية للإبلاغ عن “Speagle” باستخدام أربع بصمات ملفات SHA-256 المعروفة.
بالإضافة إلى ذلك، ينبغي للمسؤولين التحقق من سلامة تثبيتات خوادم Cobra DocGuard الخاصة بهم، ومراجعة قنوات تحديث البرامج بحثاً عن تعديلات غير مصرح بها، وتطبيق أحدث توقيعات الحماية لنقاط النهاية بسرعة.