كشفت تقارير أمنية حديثة عن ظهور أداة جديدة لتغليف برمجيات ضارة لأنظمة ويندوز، تُعرف باسم TangleCrypt، والتي تمثل تهديداً متزايداً في هجمات برامج الفدية. تم تصميم هذه الأداة خصيصاً للتسلل إلى أنظمة الكشف والاستجابة للمنتهى (EDR) وتجاوز تدابير الحماية.
تم رصد TangleCrypt لأول مرة خلال حادثة برمجية فدية استهدفت برنامج Qilin في سبتمبر 2025. في هذا الهجوم، استخدم الجهات الفاعلة برنامج TangleCrypt مع مشغّل ABYSSWORKER لتعطيل أدوات الأمان قبل تشفير أنظمة الضحايا.
TangleCrypt: محاولة مبتكرة للتخفي
تعمل TangleCrypt على إخفاء الحمولة الخبيثة عبر طبقات متعددة من الترميز، الضغط، والتشفير. يتم تخزين الملف التنفيذي الأصلي ضمن موارد PE بصيغة ترميز Base64، وضغط LZ78، وتشفير XOR.
يجعل هذا النهج المتعدد الطبقات من الصعب على أدوات الأمان التقليدية اكتشاف البرمجية الخبيثة الحقيقية المخبأة داخل الملف المغلف.
قام باحثو شركة WithSecure Labs بتحديد هذه البرمجية الخبيثة أثناء تحقيق في حادثة استجابة. استعاد الباحثون ملفات تشمل ملفين تنفيذيين مغلفين باستخدام TangleCrypt و VMProtect، بالإضافة إلى مشغّل نواة يتنكر كسائق CrowdStrike Falcon Sensor.
تم التعرف على الحمولة المضمنة في هذه الملفات التنفيذية باسم STONESTOP، وهي أداة لقتل برامج EDR تستخدم المشغّل ABYSSWORKER لإنهاء عمليات الأمان التي تعمل على النظام بالقوة.
آلية عمل TangleCrypt
تستخدم الأداة تشفير السلاسل النصية وحل الاستيراد الديناميكي لإعاقة التحليل الثابت والديناميكي.
على الرغم من أن مطوري البرمجيات الخبيثة يستخدمون هذه التقنيات بشكل شائع، إلا أن تطبيق TangleCrypt يفتقر إلى آليات متقدمة لمكافحة التحليل، مما يجعل عملية فك التغليف اليدوي سهلة نسبياً للمحللين ذوي الخبرة.
آلية تنفيذ الحمولة في TangleCrypt
يدعم TangleCrypt طريقتين متميزتين لتشغيل حمولته، يتم تحديدهما بسلسلة إعدادات مضافة إلى الملف التنفيذي المضمن. الطريقة الأولى، التي يتم تحديدها بالسلسلة “exex64_amd64_block_”، تقوم بفك تشفير الحمولة وتنفيذها داخل نفس ذاكرة العملية.
الطريقة الثانية، التي تحمل العلامة “exex64_amd64__riin”، تنشئ عملية فرعية معلقة وتكتب الحمولة المفكوكة إليها قبل استئناف التنفيذ.
عند التنفيذ، يقوم المُحمّل أولاً بفك تشفير إدخال مورد صغير يحتوي على مفتاح رقمي، مثل “175438”. يتم استخدام هذا المفتاح بعد ذلك لفك تشفير الحمولة الأكبر المخزنة في موارد PE باستخدام XoR.
تتبع عملية فك التشفير تسلسلاً محدداً حيث يتم فك ترميز سلسلة مرمزة بصيغة Base64، ثم ضغطها باستخدام LZ78، وفك ترميزها مجدداً من Base64، وأخيراً فك تشفيرها باستخدام XoR للكشف عن الملف التنفيذي الأصلي.
فور اكتمال عملية فك التغليف بنجاح، تقوم حمولة STONESTOP بالتحقق من وجود امتيازات إدارية وتسجيل مشغّل ABYSSWORKER في حال تواجد حقوق مرتفعة.
يقوم المشغّل بعد ذلك بإنهاء العمليات التي تطابق قائمة محددة مسبقاً لأسماء منتجات الأمان، مما يعطل دفاعات النظام بشكل فعال قبل بدء نشر برنامج الفدية.