كشفت فرق أبحاث التهديدات السيبرانية عن وجود خادم قيادة وتحكم نشط يقوم بتوزيع إطار عمل BYOB الكامل، وذلك بعد اكتشاف دليل مفتوح غير مؤمن.
تم العثور على الخادم، الذي يحمل عنوان IP 38.255.43.60 ويعمل على المنفذ 8081، وهو يقوم بتوزيع حمولات خبيثة مصممة لإنشاء وصول عن بعد دائم عبر أنظمة ويندوز، لينكس، وماك أو إس.
يشكل هذا الإطار مخاطر جسيمة نظراً لآلية عمله التي تعتمد على سلسلة إصابة متعددة المراحل تتجنب ببراعة الكشف، وفي الوقت نفسه تقدم قدرات تجسس يتحكم بها المهاجمون.
اكتشاف بنية إطار عمل BYOB المفتوحة
كشف الدليل المفتوح عن البنية الكاملة لمجموعة أدوات BYOB ما بعد الاستغلال، والتي تتبع عملية إصابة ثلاثية المراحل. تبدأ المرحلة الأولى ببرنامج إسقاط صغير بحجم 359 بايت، يستخدم طبقات متعددة من التشفير والتعتيم لتجاوز أنظمة الكشف القائمة على التوقيع.
يقوم هذا البرنامج بجلب المرحلة الثانية، وهي محمل بحجم 2 كيلوبايت، يقوم بإجراء فحوصات مضادة للأجهزة الافتراضية عن طريق فحص متغيرات البيئة أو عمليات التشغيل للبرامج الافتراضية.
بمجرد التأكد من سلامة البيئة، يقوم محمل المرحلة الثانية بجلب الحمولة النهائية، وهي حصان طروادة للوصول عن بعد يبلغ حجمه 123 كيلوبايت، يقوم بإنشاء اتصالات HTTP مشفرة مع خادم القيادة ويقوم بتحميل وحدات تجسس إضافية عند الطلب.
تفاصيل اكتشاف البنية
اكتشف محللو Hunt.io البنية المفتوحة أثناء عمليات البحث الاستباقي عن التهديدات باستخدام أدواتهم. حدث هذا الاكتشاف عندما اكتشفت أنظمتهم نمط الدليل المفتوح المميز على خادم القيادة والتحكم النشط.
أظهر تحليل العينات الملتقطة أن الإطار كان يعمل منذ مارس 2024 على الأقل، مما يشير إلى حملة مستمرة استمرت حوالي عشرة أشهر. تظهر البنية تنوعاً جغرافياً متعمداً، مع عقد موزعة في سنغافورة وبنما ومواقع متعددة في الولايات المتحدة، مما يوحي بتخطيط منظم لعمليات الجهات الفاعلة في مجال التهديدات.
قدرات BYOB عبر منصات متعددة
يُظهر إطار عمل BYOB قدرات مقلقة عبر منصات متعددة تجعله خطيراً بشكل خاص في بيئات الحوسبة المتنوعة. يقوم بتطبيق سبع آليات مختلفة للمحافظة على الاستمرارية، مصممة خصيصاً لكل نظام تشغيل، لضمان بقاء البرمجيات الخبيثة بعد إعادة التشغيل ومحاولات التنظيف.
على أنظمة ويندوز، يقوم بإنشاء مفاتيح تشغيل في السجل، ووضع اختصارات على سطح المكتب، وإنشاء مهام مجدولة، ونشر اشتراكات Windows Management Instrumentation للتنفيذ عند وقوع أحداث معينة. أما على أنظمة لينكس، فيتم اختراقها عبر إدخالات crontab ضارة، بينما يتم إصابة أجهزة ماك أو إس باستخدام ملفات LaunchAgent التي تنفذ تلقائياً عند تسجيل دخول المستخدم.
هذه الأساليب المتكررة للبقاء تزيد من تعقيد جهود الإزالة وتزيد من احتمالية بقاء آلية واحدة على الأقل دون اكتشاف.
قدرات التجسس ما بعد الاستغلال
إلى جانب إنشاء الوصول، توفر حمولة BYOB قدرات تجسس موسعة من خلال مكونات نمطية يمكن تحميلها بناءً على أهداف المهاجم. تقوم وحدة مسجل ضربات المفاتيح (keylogger) بالتقاط كل ضغطة مفتاح مع اسم النافذة النشطة لتوفير سياق حول التطبيق الذي كان قيد الاستخدام عند إدخال معلومات حساسة.
تقوم وحدة تنصت الحزم (packet sniffer) باعتراض حركة مرور الشبكة على طبقة IP، وتحليل الرؤوس لاستخراج معلومات المصدر والوجهة والبروتوكول والبيانات، والتي قد تكشف عن بيانات اعتماد مرسلة كنص عادي أو اتصالات شبكة داخلية.
تمثل وحدة حصاد رسائل البريد الإلكتروني من Outlook إحدى القدرات الأكثر إثارة للقلق، حيث تستفيد من Windows COM automation للوصول إلى Microsoft Outlook برمجياً دون الحاجة إلى مصادقة. من خلال الاتصال بجلسة Outlook المصادق عليها بالفعل، يمكن للبرمجيات الخبيثة البحث في محتويات البريد الوارد، واستخراج رسائل البريد الإلكتروني التي تحتوي على كلمات رئيسية محددة، وعد الرسائل الكلية قبل إجراء عمليات الاستخراج الكاملة.
تمتلك هذه القدرة خطورة خاصة في البيئات المؤسسية حيث يتم تبادل الاتصالات الهامة للأعمال والمعلومات المالية والوثائق الداخلية بانتظام عبر البريد الإلكتروني. تشتمل حزمة البرامج أيضاً على وظائف معالجة العمليات التي تمكن المهاجمين من إنهاء برامج الأمان، وتعداد التطبيقات قيد التشغيل، وحظر الأدوات الوقائية مثل Task Manager تلقائياً.
كشفت تحليلات البنية التحتية عن تفاصيل إضافية مقلقة حول نطاق الحملة واستراتيجية تحقيق الدخل. تم العثور على عقدتين من أصل خمس عقد قيادة وتحكم محددة تستضيفان برنامج تعدين العملات المشفرة XMRig جنباً إلى جنب مع إطار عمل BYOB، مما يشير إلى بنية تحتية ذات غرض مزدوج تولد إيرادات سلبية من خلال التعدين الخبيث، مع الحفاظ على قدرات الوصول عن بعد.
يشير هذا المزيج من نشر أدوات الوصول عن بعد وتعدين العملات المشفرة إلى جهات فاعلة تسعى لتحقيق مكاسب مالية من خلال استغلال متعدد الأنظمة. يشير المنفذ RDP المفتوح على الخادم الرئيسي، والذي كان نشطاً منذ ديسمبر 2023، إلى بنية تحتية مخصصة للهجوم بدلاً من عمليات تجارية مشروعة.