كشف باحثون في مجال الأمن السيبراني عن حملة برمجيات خبيثة متطورة للغاية تستغل برنامج تحميل تجاري (commodity loader) مشترك بين مجموعات تهديد سيبراني متعددة. تستهدف هذه العملية منظمات في قطاعي التصنيع والحكومة في إيطاليا وفنلندا والمملكة العربية السعودية بهجمات دقيقة مصممة لاستخلاص البيانات الصناعية واختراق بيانات اعتماد إدارية حساسة.
تُظهر الحملة براعة متقدمة من خلال نواقل إصابة متنوعة تشمل مستندات Office مفعلة تستغل الثغرة CVE-2017-11882، وملفات SVG خبيثة، وأرشيفات ZIP تحتوي على اختصارات LNK. وتتلاقى جميع طرق التسليم هذه مع برنامج تحميل تجاري موحد يعمل كأساس لتوزيع برامج الوصول عن بعد (RATs) وبرمجيات سرقة المعلومات.
برمجيات خبيثة متطورة تستهدف منظمات حيوية
وتستهدف الهجمات بشكل أساسي منظمات في قطاعات حيوية في دول مختلفة، مع تركيز ملحوظ على إيطاليا وفنلندا والمملكة العربية السعودية. يعتمد المهاجمون على أساليب خداع معقدة لخداع الضحايا، مما يبرز الحاجة المتزايدة لتعزيز إجراءات الأمن السيبراني.
تتضمن رسائل البريد الإلكتروني التصيدية ادعاءات بأنها تتعلق بأوامر شراء رسمية من شركاء أعمال موثوقين، مما يخلق ناقل إصابة أولي يبدو بسيطًا ولكنه يخفي وراءه تعقيدًا تقنيًا كبيرًا.
آلية الهجوم متعددة الطبقات
بمجرد أن يفتح المستلمون المرفقات، تبدأ سلسلة إصابة مُنسقة بعناية. حدد محللو Cyble البرمجيات الخبيثة بعد المرحلة الثانية من التنفيذ، مما سمح للباحثين برسم خريطة لسير عمل الهجوم الكامل وفهم آلياته التشغيلية. وتهدف هذه التقنيات إلى التسلل بأقل قدر ممكن من الآثار.
تخفي البيانات وتنفيذ دون ملفات: آلية الهجوم الأساسية
تبدأ سلسلة الإصابة بملفات JavaScript موجودة داخل أرشيفات RAR، والتي تقوم بتنفيذ تعليمات برمجية مشفرة للغاية ومصممة لتجنب أنظمة الكشف. يتم إطلاق عمليات PowerShell مخفية باستخدام Windows Management Instrumentation (WMI)، مع استخدام طبقات تشفير متعددة بما في ذلك ترميز base64 وتقنيات معالجة السلاسل، بالإضافة إلى تأخير متعمد لمدة خمس ثوانٍ لتجنب التحليل الآلي في البيئات الافتراضية (sandboxes).
تتضمن المرحلة الثانية تنزيل ملفات صور PNG من Archive.org، والتي تحتوي على حمولات (payloads) مدمجة بتقنية إخفاء البيانات (steganography). تستخدم PowerShell مطابقة أنماط التعبيرات العادية (regular expressions) لاستخلاص تجميع .NET المشفر بـ base64 والمضمن، وذلك باستخدام محددات خاصة. يتيح هذا الأسلوب للمهاجمين إخفاء حمولاتهم داخل ملفات تبدو حميدة.
يقوم التجميع بعد ذلك بتحميله إلى الذاكرة باستخدام Reflection.Assembly::Load، مما يضمن تنفيذ الحمولة النهائية دون لمس القرص. وهذا الأسلوب التنفيذي الذي لا يترك أثراً على القرص يمثل ميزة حاسمة للمتسللين، حيث يقلل بشكل كبير من احتمالية الكشف ويعقد التحقيقات الجنائية الرقمية.
تطويرات جديدة وتأثير توسعي
تستغل المرحلة الثالثة نسخة معدلة (trojanized) من مكتبة TaskScheduler مفتوحة المصدر المشروعة من GitHub. قام المهاجمون بإضافة وظائف خبيثة إلى كود المصدر الأصلي وأعادوا تجميعه، مما أدى إلى إنشاء تجميع يحتفظ بمظهره ووظيفته الأصليين مع تضمين إمكانيات مخفية. يقوم برنامج التحميل بإنشاء عمليات معلقة باستخدام RegAsm.exe، ثم يقوم بحقن العملية وتنفيذ الحمولة المفككة. البرمجية الخبيثة النهائية التي يتم تسليمها هي PureLog Stealer، والتي يتم استخلاصها باستخدام تشفير Triple DES في وضع CBC مع حشو PKCS7 وفك ضغط GZip.
يشير الاستخدام المستمر لإخفاء البيانات، وعكس السلاسل، وترميز base64، وحشو العمليات (process hollowing) عبر الحملات إلى أن برنامج التحميل هذا يمثل إطار عمل تسليم مشترك بين عدة جهات تهديد، مما يشير إلى احتمالية تسويق هذه البنية التحتية المتقدمة للهجوم.