ظهر نوع جديد من برامج التروجان للوصول عن بعد يُعرف بـ “ResokerRAT”، والذي يستخدم واجهة برمجة تطبيقات Telegram لتنفيذ أوامره وسرقة البيانات من أجهزة Windows المصابة. يتجنب هذا التهديد استخدام خوادم التحكم والقيادة التقليدية.
وتعتمد ResokerRAT بشكل كبير على منصة المراسلة الشهيرة لتلقي تعليمات المهاجمين وإعادة البيانات المسروقة، مما يجعل اكتشافها أكثر صعوبة على أدوات الأمن السيبراني القياسية. تم اكتشاف هذا التهديد الجديد من قبل خبراء الأمن في K7 Security Labs.
التهديد الجديد: ResokerRAT وطرق عمله
يتم توزيع ResokerRAT كملف تنفيذي باسم Resoker.exe. بمجرد تشغيل الضحية لهذا الملف، يبدأ البرنامج الضار في العمل بصمت في الخلفية، ويفرض وجوده الدائم، ويطلب صلاحيات إدارية، ويستعد لتنفيذ الأوامر عن بعد.
تشمل قدرات البرنامج الضار التقاط لقطات شاشة، وتنزيل ملفات إضافية، وتعطيل مطالبات الأمان في نظام Windows، ومنع وصول المستخدم إلى أدوات التشخيص مثل “إدارة المهام”.
إجراءات الحماية المبكرة
من الإجراءات الأولية للبرنامج الضار عند تشغيله هو إنشاء “mutex” يسمى “GlobalResokerSystemMutex” باستخدام واجهة برمجة تطبيقات Windows CreateMutexW. يعمل هذا الـ mutex كآلية قفل بسيطة لضمان تشغيل نسخة واحدة فقط من البرنامج الضار على النظام.
كما يستخدم البرنامج الضار دالة IsDebuggerPresent للتحقق مما إذا كان محلل أمني قد قام بتركيب مصحح أخطاء على عمليته. في حال اكتشاف مصحح أخطاء، يقوم البرنامج الضار بإطلاق استثناء مخصص لإيقاف أي تحليل مستمر.
السعي لصلاحيات إدارية
للحصول على وصول أعمق، يحاول البرنامج الضار إعادة تشغيل نفسه بصلاحيات مسؤول باستخدام دالة ShellExecuteExA مع خيار “runas”. إذا نجح هذا التصعيد، تنتهي النسخة الأصلية وتتولى العملية ذات الصلاحيات الإدارية. إذا فشل، يبلغ البرنامج الضار بالخطأ عبر بوت Telegram.
يقوم البرنامج الضار أيضًا بفحص العمليات قيد التشغيل وإيقاف أدوات التحليل مثل Taskmgr.exe و Procexp.exe و ProcessHacker.exe بالقوة باستخدام دالة TerminateProcess.
الاستمرارية وتنفيذ الأوامر عن بعد
يُعد الجانب الأكثر إثارة للقلق في ResokerRAT هو كيفية تثبيته بشكل دائم في النظام مع استخدام Telegram كقناة تحكم حية. عند إرسال المهاجم الأمر /startup، يقوم البرنامج الضار بكتابة مسار الملف التنفيذي الخاص به في سجل Windows تحت المفتاح HKCUSoftwareMicrosoftWindowsCurrentVersionRun باسم “Resoker”.
يضمن هذا الإجراء تشغيل البرنامج الضار تلقائيًا في كل مرة يبدأ فيها تشغيل الجهاز. بعد ذلك، يتم إرسال رسالة تأكيد “Added to startup” إلى المهاجم.
آلية الاتصال عبر Telegram
يتدفق الاتصال بين البرنامج الضار والمهاجم بالكامل عبر واجهة برمجة تطبيقات Telegram Bot. يقوم البرنامج الضار ببناء عنوان URL باستخدام رمز بوت وتفاصيل دردشة ثابتة للاستعلام المستمر عن تعليمات جديدة من Telegram.
قبل نقل البيانات المجمعة، يقوم البرنامج الضار بتشفير المحتوى باستخدام ترميز URL للمساعدة في تجاوز مرشحات الشبكة دون أن يتم اكتشافه. تم تأكيد هذا النمط المتكرر للحركة المرورية أثناء تحليل التقاط الشبكة.
أوامر ضارة وقدرات خطيرة
من بين الأوامر المتاحة عن بعد، يعد أمر /screenshot أمرًا تدخليًا بشكل خاص. عند إصداره، يقوم البرنامج الضار بإنشاء مجلد Screenshots في دليله المحلي وتشغيل برنامج PowerShell مخفي لالتقاط الشاشة بأكملها، وحفظها كملف PNG، كل ذلك دون إظهار أي نافذة للمستخدم.
يمكن للمهاجم أيضًا إضعاف دفاعات النظام باستخدام أمر /uac-min، والذي يقوم بتعيين ConsentPromptBehaviorAdmin إلى 0 وتعطيل مطالبة سطح المكتب الآمن، مع الحفاظ على تفعيل UAC لتجنب إثارة الشكوك.
يُنصح بشدة المستخدمون وفرق الأمن بمراقبة مفاتيح سجل تشغيل Windows بحثًا عن أي إدخالات غير مصرح بها، ومراقبة حركة HTTPS الصادرة الموجهة إلى api.telegram.org من عمليات غير معروفة. إن الحفاظ على تحديث الأنظمة والبرامج، وتجنب الملفات التنفيذية من مصادر غير موثوقة، والبقاء متيقظين لأي عجز مفاجئ في فتح “إدارة المهام” هي خطوات أساسية لتقليل مخاطر الإصابة.