تشن حملات سيبرانية خفية تستهدف المنظمات، مستغلة برمجية ValleyRAT_S2 الخبيثة للبقاء لفترات طويلة داخل الشبكات وسرقة المعلومات المالية الحساسة. تعد هذه الهجمات تطوراً مقلقاً في مشهد التهديدات الإلكترونية، حيث تركز على الوصول المستتر والمدمر.
تُعرف ValleyRAT_S2 بأنها الحمولة الثانية أو المرحلة الثانية من عائلة برمجيات ValleyRAT، وقد كُتبت بلغة C++. بمجرد اختراقها للشبكة، تعمل كحصان طروادة وصول عن بعد شامل، مما يمنح المهاجمين سيطرة قوية على الأنظمة المخترقة ويوفر لهم وسيلة فعالة لاستخراج البيانات.
ValleyRAT_S2: تهديد خفي يسعى للمعلومات المالية
تنتشر الحملات الحالية بشكل أساسي عبر أدوات إنتاجية صينية مزيفة، وبرامج مقرصنة، ومثبتات خبيثة تتنكر كأدوات لتوليد جداول البيانات تعتمد على الذكاء الاصطناعي. وتبحث هذه البرمجيات الخبيثة عن طرق مبتكرة للوصول إلى الأنظمة المستهدفة.
في كثير من الحالات، يتم توصيل البرمجية الخبيثة عبر تقنية “تحميل DLL الجانبي” (DLL side-loading). تعتمد هذه التقنية على خداع تطبيق شرعي موقع لتشغيل مكتبة ارتباط ديناميكي (DLL) خبيثة تحمل اسماً شائعاً، مثل steam_api64.dll، مما يصعب اكتشافها.
وبعد تتبع هذه العمليات، كشفت التقارير أن ValleyRAT_S2 هي الباب الخلفي الرئيس الذي يقود هذه الاختراقات. وتظهر البرمجية الخبيثة أيضاً من خلال مرفقات التصيد الموجه (spearphishing) وقنوات تحديث البرامج المخترقة.
آليات الانتشار والتخفي
تقوم المستندات والأرشيفات الخبيثة بإسقاط حمولتها في مجلدات مثل مجلد الملفات المؤقتة (Temp). على سبيل المثال، يتم وضع الحمولة في مسار مثل: C:UsersAdminAppDataLocalTempAI自动化办公表格制作生成工具安装包steam_api64.dll.
بعد ذلك، تركز المرحلة الأولى على التهرب من الكشف، بينما تتولى ValleyRAT_S2 زمام الأمور للتحكم طويل الأمد، واستكشاف النظام، وسرقة بيانات الاعتماد، وجمع البيانات المالية. وتُعد هذه الآلية فعالة في إخفاء وجود المهاجم للحصول على المعلومات.
بمجرد تنشيطها، تقوم ValleyRAT_S2 بفحص العمليات، وأنظمة الملفات، ومفاتيح التسجيل. ومن ثم تتواصل مع خوادم القيادة والتحكم (Command-and-Control) المضمنة مسبقاً، مثل 27.124.3.175:14852، عبر بروتوكول TCP مخصص. يمكنها تحميل وتنزيل الملفات، وتنفيذ أوامر shell، وحقن حمولات إضافية، وتسجيل ضغطات المفاتيح.
هذه القدرات تجعلها مناسبة تماماً لجمع بيانات الاعتماد المصرفية عبر الإنترنت، وبيانات الدفع، والمستندات المالية الداخلية. وقدرتها على جمع أنواع مختلفة من المعلومات تجعلها تهديداً خطيراً للمؤسسات.
الثبات وسلوك المراقبة
يُعد الثبات المتدرج وتصميم المراقبة من أخطر جوانب ValleyRAT_S2، حيث يساعدها ذلك على البقاء بعد إعادة تشغيل النظام أو عمليات التنظيف اليدوية. وتمنح هذه الآلية المهاجمين صبراً إضافياً داخل الشبكة.
تُعد برمجيات ValleyRAT_S2 من التهديدات المتقدمة، وتتطلب استراتيجيات دفاعية قوية.
تُنشئ البرمجية الخبيثة أولاً ملفات في مسارات Temp و AppData الخاصة بالمستخدم، وتُنشئ مؤشرات مثل %TEMP%target.pid ومسارات تكوين تحت %APPDATA%PromotionsTemp.aps.
كما أنها تستغل “جدولة المهام” (Task Scheduler) في ويندوز عبر واجهات COM لإعادة تشغيل نفسها عند بدء التشغيل، وقد تستخدم مفاتيح التشغيل في التسجيل كمسارات بدء تشغيل احتياطية. هذه التعددية في آليات التشغيل تزيد من صعوبة إزالتها.
واحدة من الميزات الرئيسية هي النص البرمجي الدفعي (batch script) المُنشأ، monitor.bat، الذي يعمل كحلقة مراقبة. يقوم هذا النص البرمجي بقراءة معرف العملية (PID) المخزن من target.pid، ويتحقق مما إذا كانت عملية البرمجية الخبيثة الرئيسية لا تزال قيد التشغيل، ثم يعيد تشغيلها بصمت إذا لزم الأمر.
@echo off
set "PIDFile=%TEMP%target.pid"
set /p pid=<"%PIDFile%"
del "%PIDFile%"
:check
tasklist /fi "PID eq %pid%" | findstr >nul
if errorlevel 1 (
cscript //nologo "%TEMP%watch.vbs"
exit
)
timeout /t 15 >nul
goto checkتسمح هذه الحلقة لـ ValleyRAT_S2 بالتعافي إذا تم إنهاء العملية الرئيسية بواسطة أدوات الأمان أو المسؤولين. بالاقتران مع معالجة الاستثناءات المنظمة، وفحوصات البيئات الافتراضية (sandbox checks)، وحقن العمليات في أسماء موثوقة مثل Telegra.exe و WhatsApp.exe، تحافظ البرمجية الخبيثة على وجود هادئ ولكنه قوي.
بالنسبة للمدافعين، هذا يعني أن مجرد إنهاء العملية ليس كافياً؛ يجب أن تستهدف الإزالة الكاملة مهام الجدولة، والنصوص البرمجية للمراقبة (batch و VBS)، والملفات المخزنة، وعملية الباب الخلفي دفعة واحدة. وتتطلب مواجهة هذه التهديدات المتقدمة أدوات وتحليلات متخصصة.