تُشير التقارير الأمنية الحديثة إلى استمرار حملات برمجيات خبيثة متطورة تستهدف المؤسسات في آسيا، بقيادة مجموعة Silver Fox المعروفة، وتستغل تكتيكات هندسة اجتماعية معقدة لتوزيع برمجية Winos 4.0 الخبيثة.
تُركز هذه العمليات بشكل كبير على آسيا، حيث تستهدف المنظمات المحلية باستخدام رسائل تصطحبها إغراءات محلية مصممة بعناية، مما يزيد من احتمالية استجابة الضحايا.
من خلال إخفاء الهجمات كجزء من الاتصالات التجارية الروتينية، نجح المهاجمون في إدخال برمجية Winos 4.0 الخبيثة، المعروفة أيضاً باسم ValleyRat، إلى شبكات الشركات.
وللتمكن من اختراق أنظمة الضحايا، يستغل المهاجمون رسائل تصيد احتيالي خادعة تحتوي على مرفقات خبيثة أو روابط مضمنة.
تُحاكي هذه الرسائل عن كثب المراسلات الرسمية الحكومية، مثل إشعارات التدقيق الضريبي، وبرامج تثبيت البرامج، وتنزيلات الفواتير الإلكترونية.
عندما يتفاعل المستخدم مع هذه الملفات، فإنها تبدأ سلسلة عدوى معقدة تعمل بصمت، مما يقلل من فرص اكتشافها الفوري من قبل المستخدم.
ويُعد التأثير النهائي للإصابة الناجحة وخيمًا، حيث يؤدي إلى تشفير واسع النطاق للملفات وسرقة بيانات مكثفة يمكن أن تغذي المزيد من الهجمات السيبرانية.
وقد اكتشف باحثو Fortinet البرمجية الخبيثة والبنية التحتية الخاصة بها باعتبارها متقلبة للغاية، حيث تستخدم شبكة دوارة من نطاقات سحابية لاستضافة حمولتها.
إن هذا التغيير السريع للموارد يجعل حظر النطاقات الثابتة التقليدية غير فعال إلى حد كبير كإجراء دفاعي أساسي ضد عمليات Winos 4.0 المستمرة.
تقنيات متقدمة لتجاوز الكشف
بمجرد الدخول إلى الشبكة، تعتمد مجموعة Silver Fox على استراتيجيات متقدمة لتجاوز الكشف للحفاظ على الوصول والتحكم.
يقوم المهاجمون بتسليم أرشيف يحتوي على تطبيق شرعي يقوم سراً بتحميل مكتبة ربط ديناميكية خبيثة (DLL) في الذاكرة.
وتُعد هذه المرحلة أساسية لهجوم “إحضار برنامجك الخاص للسائقين المعرضين للخطر” (Bring Your Own Vulnerable Driver). تقوم البرمجية الخبيثة بتحميل برنامج تشغيل في وضع النواة الخاص بنظام ويندوز، يحمل توقيعًا صالحًا، باسم wsftprm.sys، للحصول بصمت على امتيازات نظام مرتفعة دون تنبيه المسؤولين.
بعد تأمين الوصول على مستوى النواة، يدخل برنامج التشغيل الخبيث في حلقة مراقبة مستمرة لتحديد وإنهاء عمليات الأمان النشطة.
من خلال استهداف مجموعة واسعة من برامج مكافحة الفيروسات وأدوات حماية نقاط النهاية الشائعة، تنشئ البرمجية الخبيثة بيئة عمياء تمامًا.
هذا يسمح لـ Winos 4.0 بالعمل، وزيادة امتيازاتها، والحفاظ على الاتصال عن بعد مع خادم القيادة الخاص بها دون عوائق.
للدفاع بفعالية ضد هذه التقنيات المتطورة للغاية، يجب على المؤسسات التعامل مع جميع المستندات غير المتوقعة والروابط الخارجية بحذر شديد.
يجب على فرق الأمان تنفيذ أدوات المراقبة السلوكية، وتحديث تواقيع حماية نقاط النهاية بشكل مستمر، ونشر حلول ترشيح بريد إلكتروني قوية للكشف بشكل استباقي عن محاولات التصيد الاحتيالي المتملصة قبل حدوثها.
تابعونا على Google News، LinkedIn، و X للمزيد من التحديثات الفورية، واجعلوا CSN مصدراً مفضلاً في Google.