كشفت تقارير أمنية حديثة عن حملة تجسس منظمة تستهدف القطاع المصرفي الهندي، وذلك عبر استغلال ثغرة أمنية تستخدم ملفات موقعة من مايكروسوفت للتسلل عبر الدفاعات السيبرانية. تستخدم هذه الحملة نسخة جديدة من برنامج LOTUSLITE الخبيث، وتعتمد على تقنية تعرف باسم “تحميل DLL جانبي” (DLL sideloading) لتجنب الكشف.
تتسم هذه الحملة بالهدوء والتخطيط الدقيق، حيث تحاول دمج الأنشطة الخبيثة ضمن سلوك النظام الطبيعي لتفادي إثارة الشكوك. بدأ الهجوم عبر أرشيف مضغوط (ZIP) يحمل طابعًا يتعلق بالقطاع المصرفي والمالي الهندي.
حملة تجسس جديدة تستهدف القطاع المصرفي الهندي باستخدام LOTUSLITE
تم اكتشاف هذه النسخة الجديدة من LOTUSLITE خلال مراقبة نشطة لحملات برمجيات خبيثة مرتبطة بالتطورات الجيوسياسية. لوحظ أن برمجية LOTUSLITE المستخدمة تحمل ارتباطات واضحة بالمؤسسات المصرفية في الهند، وشوهدت مؤشرات على نشاطها خلال شهر مارس الماضي.
أفاد محللون بأن استخدام ملف تنفيذي موقع من مايكروسوفت هو تكتيك متعمد لتجاوز إجراءات الفحص القياسية. غالباً ما تمنح المنتجات الأمنية الثقة الضمنية للملفات الموقعة من مايكروسوفت، ونادراً ما تنبه بوجود خطر من مجرد تنفيذها.
بمجرد تثبيت LOTUSLITE، يقوم بالاتصال بخادم قيادة وتحكم (C2) يعتمد على نظام أسماء النطاقات الديناميكي، وذلك عبر بروتوكول HTTPS. هذا يجعل حركة المرور تبدو كأنها حركة مرور إنترنت مشفرة وروتينية.
يدعم LOTUSLITE الوصول عن بعد إلى سطر الأوامر، ويعمل على إدارة الملفات والجلسات، مما يمنح المهاجم موطئ قدم دائم على الجهاز المخترق. تشير تصميمات البرنامج بقوة إلى أهداف مدفوعة بالتجسس، حيث تم بناؤه لجمع المعلومات والحفاظ على الوصول طويل الأمد بدلاً من التسبب في تعطيل واضح.
ويُعتقد، بدرجة ثقة معتدلة، أن هذه الحملة مرتبطة بمجموعة “Mustang Panda”، وهي مجموعة تهديدات متقدمة مستمرة (APT) ذات صلة بالصين، وذلك بناءً على أنماط البنية التحتية المشتركة والسلوكيات التشغيلية التي وثقتها فرق الأبحاث.
استهداف متعدد الجبهات
ترتبط الحملة الأوسع بمجموعة أنشطة موازية تستهدف الدوائر الجيوسياسية المتعلقة بكوريا. فقد وجد الباحثون أن نفس البنية التحتية الخاصة بـ LOTUSLITE تم استخدامها في حملات تشير إلى مجتمعات السياسة والدبلوماسية الكورية.
يشير هذا إلى أن الجهة المهددة تعمل على جبهات متعددة باستخدام نفس مجموعة الأدوات الأساسية، مع تغيير المواد الإغرائية لتتناسب مع كل جمهور مستهدف. يتوافق هذا النمط مع عادة مجموعة Mustang Panda في إعادة استخدام طرق التسليم الراسخة مع تعديل المحتوى السطحي فقط.
آلية التثبيت الأساسية: تحميل DLL جانبي
تعتمد آلية التثبيت لهذا القطاع الخبيث بشكل كامل على ثقة نظام التشغيل في البرامج الموقعة. عند تشغيل الملف التنفيذي Microsoft_DNX.exe، يقوم بتحميل ملف LOTUSLITE DLL ديناميكيًا أثناء التشغيل.
تم اختيار الملف التنفيذي تحديدًا لأن نظام ويندوز يتعرف عليه باعتباره موقعًا، مما يعني أنه من غير المرجح أن تنبه إليه منتجات الأمان. نظرًا لأن الملف يقوم بتحميل DLL بالاسم فقط دون التحقق من المسار الكامل، يحتاج المهاجم فقط إلى وضع الملف الخبيث في نفس الدليل لضمان تحميله.
تُظهر سلسلة التنفيذ هذه كيف يعمل الملف التنفيذي الموقّع كمنصة انطلاق للحمولة الخبيثة. تُظهر هذه النسخة المتطورة من LOTUSLITE أيضًا علامات واضحة على التطور، حيث تستخدم قيمة سحرية مختلفة في حزم الشبكة مقارنة بالحملات السابقة، مما يساعدها على تجنب قواعد الكشف المكتوبة ضد التوقيع القديم.
يُنصح فرق الأمن بمراقبة أنماط تحميل DLL غير العادية من الملفات التنفيذية الشرعية لمايكروسوفت. كما يُنصح بتطبيق سياسات التحكم في التطبيقات التي تقيد تحميل DLL إلى مسارات الملفات الموثوقة.
يجب التعامل مع أي ملف تنفيذي موقع يقوم بتحميل DLLs غير موثوقة من مجلدات قابلة للكتابة من قبل المستخدم على أنها مشبوهة. تظل أدوات الكشف عن نقاط النهاية التي تركز على الإشارات السلوكية بدلاً من سمعة الملف وحدها هي الخط الدفاعي الأكثر فعالية ضد هذا النوع من الهجمات.