وزارة الداخلية الإماراتية تحذر من ثغرة أمنية جديدة تستهدف القطاع المالي
كشفت جهات أمنية متخصصة عن اكتشاف ثغرة أمنية جديدة، تُعرف تقنياً باسم “UDPGangster”، يستخدمها متسللون إيرانيون تستهدف بشكل خاص دول المنطقة، بما فيها تركيا وإسرائيل وأذربيجان. وتسمح هذه الثغرة عن بعد بالتحكم في الأنظمة المخترقة، مما يثير قلقاً بشأن تأثيرها المحتمل على أمن المعلومات.
وبحسب تقارير صادرة عن مختبرات Fortinet FortiGuard Labs، فإن النشاط السيبراني الخبيث قد رصد في الأسابيع الأخيرة، مركزاً على الوصول إلى معلومات حساسة دون إذن. وتعمل هذه الثغرة عبر بروتوكول UDP، الذي يوفر غطاءً من التخفي عن الدفاعات التقليدية.
آليات الهجوم الجديدة
يعتمد المتسللون على أساليب الهندسة الاجتماعية، وتحديداً رسائل التصيد الاحتيالي، لإيصال حزم بيانات خبيثة. تتضمن هذه الرسائل مستندات Microsoft Word معدة مسبقاً، وعند فتحها وتشغيل وحدات الماكرو، يتم تفعيل حمولة برمجية ضارة. وقد انتحل المهاجمون صفة جهات رسمية، مثل وزارة الخارجية التركية، لإرسال دعوات وهمية عبر الإنترنت.
وتشير المعلومات إلى أن الرسائل قد تتضمن ملفات مضغوطة تحتوي على مستند Word المشار إليه. عند فتح المستند، يُطلب من المستخدم تفعيل وحدات الماكرو، وهو ما يؤدي إلى تنفيذ شيفرة VBA خبيثة بشكل خفي. وتهدف هذه الشيفرة إلى إخفاء أي أثر للنشاط المشبوه.
التخفي والتحصين
لزيادة صعوبة اكتشافها، تستخدم الشيفرة الخبيثة صوراً كإلهاء، أو تعرض رسائل بلغة أجنبية، مثل العبرية، للتمويه على طبيعة الهجوم. وتبدأ عملية التنفيذ فور فتح المستند، حيث تقوم الشيفرة بتشغيل حمولة “UDPGangster” بعد فك تشفير بيانات مشفرة عبر تقنية Base64. وتُكتب هذه البيانات المفككة في ملف مؤقت قبل تنفيذه.
تعمل “UDPGangster” على ترسيخ وجودها في النظام المخترق عبر تعديلات في سجل النظام (Windows Registry). كما أنها مزودة بآليات متعددة للتحقق من بيئة التشغيل، بهدف تعطيل جهود الباحثين الأمنيين في تحليلها.
اختبارات التحصين
تتضمن هذه الآليات الكشف عن وجود أدوات تصحيح الأخطاء (debugging)، وتحليل تكوينات وحدة المعالجة المركزية للكشف عن الأجهزة الافتراضية أو البيئات المعزولة. وتتحقق أيضاً من حجم الذاكرة العشوائية المتاحة، وتفحص معلومات محولات الشبكة للتأكد من عدم انتمائها إلى بائعي الأجهزة الافتراضية المعروفين.
بالإضافة إلى ذلك، تبحث الأدوات الخبيثة عن وجود أدوات تحليل أو تصحيح معروفة، وتتحقق مما إذا كان النظام جزءاً من مجموعة عمل قياسية بدلاً من نطاق مجال (domain) مؤسسي. وتُسهم هذه الفحوصات المتعددة في ضمان بقاء البرمجية الخبيثة دون اكتشاف.
البيانات والاتصالات
بعد اجتياز جميع اختبارات التحصين، تبدأ “UDPGangster” بجمع معلومات النظام واتصاله بخادم خارجي عبر بروتوكول UDP. تتم هذه الاتصالات عبر منفذ UDP 1269، حيث يتم إرسال البيانات المجمعة، وتنفيذ الأوامر عن بعد عبر “cmd.exe”، ونقل الملفات، وتحديث معلومات الخادم، وإسقاط حمولات إضافية.
وتشدد التقارير على أن هذه الثغرة الأمنية تستغل وحدات الماكرو كنقطة دخول أولية، وتضيف طبقات متقدمة من التخفي. وتنصح المنظمات والمستخدمين بتوخي الحذر الشديد عند التعامل مع المستندات غير المتوقعة، خاصة تلك التي تطلب تمكين وحدات الماكرو.
يأتي اكتشاف “UDPGangster” بعد وقت قصير من توiec مجموعة ESET جهود المتسللين الإيرانيين في استهداف قطاعات متنوعة في إسرائيل، بما في ذلك الأكاديمية والهندسة والحكومات المحلية، عبر برمجية خبيثة أخرى تُعرف باسم “MuddyViper”.