كشفت دراسة أمنية حديثة عن حملة تجسس إلكتروني تستهدف موظفي الدعم الفني في قطاع الويب 3 (Web3)، حيث تستخدم جهة تهديد معروفة باسم APT-Q-27 روابط وهمية لصور شاشة مثبتة برامج خلفية خفية في أجهزة الضحايا. ويعد هذا الأسلوب المبتكر استراتيجية جديدة للجهة الهجومية التي تسعى لاختراق الشركات العاملة في هذا المجال الجديد والمتنامي.
وتستهدف حملة هجمات الويب 3 هذه العنصر البشري داخل المؤسسات، ممثلاً في وكلاء الدعم الذين يتعاملون مباشرة مع استفسارات العملاء، بدلاً من استغلال الثغرات البرمجية أو نقاط الضعف الشبكية. وهذا ما يميز هذه الهجمات عن غيرها من المحاولات التي قد تركز على الأنظمة التقنية.
حملة APT-Q-27 تستهدف موظفي دعم الويب 3
تعمل مجموعة APT-Q-27، التي يُشار إليها أيضًا باسم GoldenEyeDog، بنشاط منذ عام 2022 على الأقل، ولديها سجل حافل في استهداف قطاعات المقامرة والعملات المشفرة. وقد اعتمدت المجموعة في حملاتها السابقة على البرمجيات المحملة ببرامج ضارة ومواقع ويب استدراجية.
ومع ذلك، يمثل هذا الهجوم تحولاً واضحاً في الاستراتيجية. فبدلاً من انتظار الضحايا للوصول إلى صفحات خبيثة، يقوم المهاجمون بالتواصل المباشر مع قنوات الدعم، متظاهرين بأنهم عملاء يبحثون عن المساعدة بشأن عمليات ذات صلة بالاستثمار الرقمي.
آلية الهجوم المبتكرة
حدد محللو ZeroShadow هذه الحملة بعد أن رصد شركاؤهم في منصة 1inch نشاطًا غير عادي في نافذة الدعم الخاصة بهم. تضمنت هذه الأنشطة طلبات مساعدة متعددة من حسابات مختلفة، وعناوين IP متغيرة، وكلها تتبع نفس النمط: رابط مختصر يبدو أنه صورة شاشة.
قامت ZeroShadow بتتبع الأدوات المستخدمة، ورسم خرائط للبنية التحتية، وإرجاع النشاط إلى مجموعة APT-Q-27 بثقة معتدلة. وقد أدت القدرة على تحليل هذه التهديدات إلى توفير رؤى قيمة لمكافحة هجمات الويب 3.
إن ما تقوم الجهة الهجومية بتوصيله هو عبارة عن حزمة برمجيات خبيثة معقدة متعددة المراحل. يتلقى الضحية رابطًا في نافذة الدردشة يبدو أنه يؤدي إلى صورة مستضافة على Google. عند النقر عليه، يتم تنزيل ملف يبدو كصورة عادية.
في أنظمة ويندوز، تكون امتدادات الملفات مخفية افتراضيًا، مما يجعل الملف يبدو كصورة عادية. ومع ذلك، يستخدم الملف تنسيق .pif، وهو نوع تنفيذي غير شائع قد لا يتعرف عليه معظم المستخدمين كتهديد. عند فتح هذا الملف، يعرض ما يبدو كصفحة ويب معطلة، بينما يتم تثبيت البرمجية الخبيثة بصمت في الخلفية.
التسليم المتدرج والتحايل على التأمين
يتصل الزرع النهائي بخوادم القيادة والتحكم (C2) المبرمجة مسبقًا عبر منفذ TCP 15628، ويسجل نفسه كخدمة ويندوز باسم “Windows Eventn” – وهو خطأ إملائي متعمد للتمويه ضمن قائمة الخدمات. كما تقوم البرمجية الخبيثة بتعطيل التحكم في حساب المستخدم (UAC) بصمت عبر ثلاثة مفاتيح تسجيل منفصلة، مما يزيل طبقة حماية رئيسية في ويندوز دون أن يرى المستخدم أي تنبيه.
بمجرد تنفيذ ملف الاستدراج، فإنه يتصل بمخزن AWS S3 لجلب ملف بيان (manifest file) – وهو قائمة قابلة للتحديث عن بعد تحتوي على عناوين URL لمكونات مرحلة لاحقة. هذا التصميم يسمح للمهاجمين بتغيير بنيتهم التحتية دون تعديل البرمجيات الخبيثة نفسها.
تتضمن الحزمة التي تم تنزيلها ملفًا تنفيذيًا شرعيًا وموقعًا من منصة YY يسمى updat.exe، جنبًا إلى جنب مع نسخ خبيثة من ملفي تشغيل ويندوز قياسيين – vcruntime140.dll و msvcp140.dll. نظرًا لأن ويندوز يبحث في دليل عمل التطبيق قبل مجلد النظام عند تحميل التبعيات، فإن تشغيل updat.exe من دليل التجميع يتسبب في تحميل ملفات DLL الخبيثة بدلاً من الملفات الحقيقية.
يتم تشغيل الملف التنفيذي الموقع بشكل نظيف ولكنه يقوم بتحميل تعليمات المهاجم – وهي تقنية تُعرف باسم DLL sideloading. تقرأ ملف DLL الخبيث، crashreport.dll، ملفًا مشفرًا يسمى yyext.log، وتحل تشفيره في الذاكرة، وتقوم بتنفيذ الشل كود الناتج دون كتابة ملف على القرص. هذه الخطوة تتجاوز أدوات فحص الذاكرة التي تبحث عن الملفات التنفيذية المحقونة.
يقوم الشل كود بعد ذلك بفك ضغط زرع خلفي نهائي – بحجم 340 كيلوبايت تقريبًا – بالكامل داخل ذاكرة العملية، دون ترك أي أثر للملف. للحفاظ على الاستمرارية، يقوم المحمل بكتابة مفتاح بدء تشغيل في سجل النظام باسم “SystemUpdats” – وهو خطأ إملائي متعمد لـ “SystemUpdate” المشروع – مما يضمن تشغيل البرمجية الخبيثة في كل مرة تتم فيها إعادة تشغيل الجهاز.
نصائح للحماية
يجب على مسؤولي النظام تمكين عرض امتدادات الملفات على جميع محطات العمل، حيث أن هذا وحده سيكشف ملف الاستدراج على حقيقته. يجب على فرق الأمن حظر جميع الاتصالات الصادرة على منفذ TCP 15628 وإضافة عناوين IP المعروفة لخوادم القيادة والتحكم (C2) البالغ عددها 37 إلى قوائم الحظر على مستوى الشبكة.
سيؤدي مراقبة قيمة سجل النظام “SystemUpdats” وأدلة التجميع التي تحتوي على اللاحقة @27 إلى كشف الإصابات النشطة. يجب أن تنبه قواعد الكشف أيضًا إلى التعطيل المتزامن لجميع مفاتيح تسجيل UAC الثلاثة، حيث أن أي برنامج شرعي لا يقوم بهذا الإجراء.