كشفت تقارير حديثة عن تطور ملحوظ في استراتيجيات مجموعة برمجيات الفدية المعروفة باسم LeakNet، حيث تقوم بتوسيع نطاق عملياتها الهجومية باستخدام أدوات جديدة مصممة للتخفي عن أنظمة الحماية الحالية. شهدت المجموعة، التي كانت تستهدف في السابق ما معدله ثلاثة ضحايا شهريًا، زيادة كبيرة في نشاطها مؤخرًا.
تأتي هذه التغييرات في إطار سعي LeakNet لتعزيز كفاءتها الهجومية، لا سيما من خلال دمج تقنية “ClickFix” التي تعتمد على الهندسة الاجتماعية، بالإضافة إلى استخدام أداة تحميل خبيثة تتسم بالخفاء وتعتمد على بيئة تشغيل Deno.
تُعد تقنية ClickFix، رغم عدم حداثتها في مجال التهديدات السيبرانية، علامة فارقة في نهج LeakNet الجديد لتحديد الضحايا. فبدلاً من الاعتماد على شراء بيانات الوصول المسروقة من وسطاء الوصول الأوليين في الأسواق السوداء، بدأت المجموعة في زرع صفحات تحقق وهمية على مواقع إلكترونية شرعية تم اختراقها.
عند زيارة المستخدمين لهذه الصفحات دون انتباه، تعرض لهم ما يبدو كفحص قياسي من Cloudflare Turnstile، مع مطالبة بتنفيذ أمر معين يدويًا. لا تستهدف هذه الطريقة ضحايا محددين، بل تتم عبر صيد واسع النطاق يعتمد على نجاح نسبة من المستخدمين في الوقوع في الفخ.
ووفقًا لمحللين في ReliaQuest، الذين رصدوا هذه الأنشطة عبر حوادث متعددة، فإن تشابه البنية التحتية والأساليب المتبعة يؤكد تورط LeakNet. يهدف الابتعاد عن وسطاء الوصول الأوليين إلى إزالة الاعتماديات التي تبطئ المجموعة وتوسيع دائرة الضحايا المحتملين بشكل كبير.
يشكل هذا التحول خطرًا على أي موظف يستخدم متصفحات الويب، حيث أن عمليات الاحتيال تستضيف على مواقع حقيقية، مما يقلل من إنذارات الدفاعات التقليدية على مستوى الشبكة. تظهر العلامات الحمراء فقط بعد تنفيذ المستخدم للأوامر الخبيثة، مما يزيد من أهمية المراقبة السلوكية، خاصةً لعمليات msiexec المشبوهة والاتصالات الصادرة غير المتوقعة.
ما يجعل حملة LeakNet الحالية مدعاة للقلق هو دمج مسارات الدخول، سواء عبر ClickFix أو التصيد عبر Microsoft Teams، في سلسلة استغلال لاحقة مشتركة. تتحرك المجموعة عبر مراحل التنفيذ، والحركة الجانبية، وتنظيم الحمولة بنفس الأدوات بغض النظر عن طريقة الدخول.
هذه الثبات يعتبر مؤشرًا مفيدًا للمدافعين، حيث أن معرفة الخطوات تسمح بتحديد نقاط يمكن فيها اكتشاف الهجوم وقطعه.
LeakNet والأساليب الهجومية المتطورة
من بين الأدوات الأكثر خطورة في ترسانة LeakNet المحدثة، يبرز مُحمّل (loader) جديد يعتمد على Deno، وهي بيئة تشغيل JavaScript وTypeScript مشروعة يستخدمها المطورون يوميًا. تتبنى LeakNet أسلوب “أحضر وقت التشغيل الخاص بك” (BYOR)، وهو ما يعني أنها تقوم بتثبيت ملف Deno التنفيذي الموثوق على جهاز الضحية واستخدامه لتشغيل التعليمات البرمجية الضارة، بدلاً من نشر ملف ثنائي خبيث قد تنبه إليه أدوات الأمان.
آلية عمل المُحمّل الخفي
يتم تنشيط المُحمّل عبر ملفات PowerShell وVisual Basic Script، والتي تحمل أسماء مميزة مثل Romeo*.ps1 وJuliet*.vbs. بدلاً من كتابة ملف JavaScript على القرص، مما قد يجعله عرضة للمسح، تقوم LeakNet بتغذية الحمولة لـ Deno عبر رابط بيانات مشفر بـ Base64. يقوم Deno بفك تشفير هذا الرابط وتشغيله بالكامل في الذاكرة، مما يجعل العملية شبه خفية عن أدوات الأمان المعتمدة على التوقيعات.
بعد تشغيل المُحمّل، يقوم بجمع تفاصيل أساسية عن النظام، مثل اسم المستخدم، واسم المضيف، وحجم الذاكرة، وإصدار نظام التشغيل، ثم يقوم بإنشاء بصمة فريدة للضحية. يتصل البنية التحتية التي يتحكم بها المهاجمون للحصول على حمولة مرحلة ثانية خاصة بالضحية، ويمنع النسخ المتكررة عن طريق الارتباط بمنفذ محلي، ثم يدخل في حلقة مستمرة لجلب وتنفيذ المزيد من التعليمات البرمجية في الذاكرة.
لتقليل احتمالية التعرض، يُنصح بحظر النطاقات المسجلة حديثًا، حيث أن خوادم القيادة والتحكم الخاصة بـ LeakNet تكون جديدة نسبيًا. كما يجب تقييد قدرة المستخدمين العاديين على تشغيل أوامر Win-R على محطات العمل الخاصة بهم، وقصر استخدام PsExec على المسؤولين المصرح لهم عبر سياسات المجموعة (GPOs).
يجب على فرق الأمن مراقبة تحميل ملفات jli.dll الجانبي في دليل C:ProgramDataUSOShared، ونشاط PsExec غير العادي، والاتصالات الصادرة غير المتوقعة إلى S3 buckets. إن عزل النظام المخترق فور تأكيد سلوك ما بعد الاستغلال هو الطريقة الأكثر مباشرة لقطع سلسلة الهجوم قبل نشر برمجيات الفدية.