كشفت تقارير أمنية حديثة تفاصيل حملة تجسس إلكتروني تستهدف كيانات هندية، حيث يستخدم المهاجمون تقنيات متقدمة لانتحال صفة مصلحة الضرائب الهندية. تهدف الحملة إلى زرع برمجيات خبيثة قادرة على سرقة البيانات والتحكم عن بعد في الأنظمة المخترقة.
تم اكتشاف هذه الحملة بواسطة محللين أمنيين تابعين لشركة Zscaler، والمتخصصين في رصد التهديدات السيبرانية المتقدمة. وتستغل هذه الهجمات وسيلة صيد إلكتروني (Phishing) متقنة، تتضمن رسائل بريد إلكتروني تبدو رسمية من مصلحة الضرائب، وتطلب من المستلمين مراجعة وثائق تتعلق بعمليات التفتيش الضريبي.
SideWinder APT وحملة التضليل الإخبارية
تُنسب هذه الهجمات إلى مجموعة التهديد المستمر المتقدم (APT) المعروفة باسم SideWinder، والتي لديها تاريخ في استهداف مؤسسات حكومية وشركات في جنوب آسيا. وتعتبر جهود SideWinder APT جزءاً من حملة أوسع تهدف إلى اختراق الأنظمة الحساسة.
تبدأ كل عملية هجوم برسالة بريد إلكتروني تحمل طابعاً ضريبياً، وتحث الضحية على فحص مستند تفتيش. تحتوي الرسالة على رابط مختصر (surl.li) يوجه المستخدم إلى بوابة ضريبية زائفة تعمل على النطاق gfmqvip.vip. وتم تصميم هذه البوابة لتقليد شكل ومظهر موقع مصلحة الضرائب الهندية الرسمي بدقة، لخداع الضحايا.
تفاصيل الاختراق و آلية العمل
بعد النقر على الرابط، يتم توجيه المستخدم لتنزيل ملف مضغوط باسم Inspection.zip، والمخزن على خدمة تخزين ملفات خارجية. هذا الملف يحتوي على ثلاثة مكونات رئيسية تشكل بداية الهجوم الفعلي.
- برنامج تنفيذي موقع: يتضمن الملف برنامج Microsoft Defender مزيف يحمل اسم Inspection Document Review.exe، ولكنه في الواقع برنامج خبيث يعرف بـ SenseCE.exe.
- مكتبة برمجية خبيثة: توجد أيضاً مكتبة (MpGear.dll) مصممة لتنفيذ الأوامر الضارة.
- ملف شهادة وهمي: يضم الملف شهادة وهمية (DMRootCA.crt) تهدف إلى تعزيز واجهة المصداقية.
عندما يقوم المستخدم بتشغيل البرنامج التنفيذي “للمراجعة”، يتم خداع نظام ويندوز لتحميل المكتبة الخبيثة MpGear.dll من نفس المجلد. هذه التقنية، المعروفة باسم DLL side-loading، تسمح للكود الخبيث بالعمل ضمن عملية موثوقة، مما يصعب اكتشافه.
قبل الاتصال بخادم القيادة والتحكم (C2)، تقوم MpGear.dll بإجراء فحوصات للتأكد من أن الجهاز المستهدف ليس بيئة اختبار آلية (sandbox). وتقوم بذلك عن طريق الاتصال بخوادم الوقت العالمية (timeapi.io و worldtimeapi.org) وقراءة المنطقة الزمنية للجهاز. وتستمر العملية فقط إذا كانت المنطقة الزمنية تتماشى مع مناطق جنوب آسيا.
يتبع ذلك مرحلة انتظار تستغرق حوالي ثلاث دقائق ونصف، وذلك للتهرب من عمليات الفحص السريعة. كما يقوم بتحليل العمليات الجارية على النظام قبل تحميل المرحلة التالية من الإنترنت.
في المرحلة النهائية، تتصل MpGear.dll بخادم قيادة وتحكم (8.217.152.225) لجلب حمولة صغيرة تسمى 1bin. ثم تقوم بإنشاء وكيل دائم (resident agent) باسم mysetup.exe في مجلد C:، وتكتب ملف تهيئة (YTSysConfig.ini) يحتوي على عنوان خادم القيادة (180.178.56.230) وعلامات أخرى ضرورية لتشغيل البرمجية الخبيثة.
تؤكد هذه الحملة على مدى تطور الأساليب التي تستخدمها مجموعات التهديد السيبراني، وأهمية زيادة الوعي الأمني لدى المستخدمين والمؤسسات لاتقاء مثل هذه الهجمات.