يواجه الكيان الاماراتي مخاطر تهديدات سيبرانية متزايدة، حيث كشفت تقارير حديثة عن حملات تصيد احتيالي متطورة تستهدف المؤسسات الهندية، يقف وراءها جهات فاعلة صينية تحمل اسم “Silver Fox”. تستغل هذه الحملات وثائق ضريبية مزيفة لخداع المستخدمين، مما يثير قلقاً متزايداً بشأن أمن البيانات.
تعتمد الهجمات على استخدام رسائل بريد إلكتروني تبدو رسمية من دائرة ضريبة الدخل الهندية، بهدف إغراء الضحايا بتحميل ملف تنفيذي خبيث يبدو كمستند متعلق بالضرائب. بمجرد النقر عليه، يتم توجيه المستخدم إلى خادم تحكم، والذي يبدأ سلسلة إصابة معقدة مصممة لتجاوز الدفاعات الأمنية وتثبيت وصول دائم إلى الأنظمة المخترقة.
حملة تصيد Silver Fox
تبدأ العملية برسالة بريد إلكتروني خادعة تحمل مرفقاً بصيغة PDF يحمل اسم شركة هندية. عند فتحه، يوجه هذا الملف المستخدم إلى موقع ويب ضار يقوم بتحميل ملف بصيغة “tax_affairs.exe”. هذا الحمولة الأولية تعمل كـ “محمل” لمراحل متعددة من البرمجيات الخبيثة، كل منها مصمم لإخفاء هدفه الحقيقي مع الحفاظ على وصول عميق إلى أنظمة الضحايا.
توضح هذه الهجمة كيف يستغل المهاجمون الوثائق المهندسة اجتماعياً، بالاشتراك مع تنسيقات الملفات الموثوقة، للتغلب على الضوابط الأمنية التقليدية. وقد سلط محللون من CloudSEK الضوء على أن هذه الحملة تم نسبها في السابق إلى مجموعات تهديد أخرى، مما يؤكد أهمية تحديد مصدر التهديد بدقة لتطبيق تدابير دفاعية صحيحة.
تقنية DLL Hijacking
تعتمد آلية الإصابة على تقنية تعرف باسم “DLL hijacking” لتفعيل الحمولة الرئيسية. تنزل المرحلة الأولى ملفًا تنفيذيًا شرعيًا يسمى Thunder.exe، تم تطويره بواسطة شركة برمجيات صينية. يتم تسليح هذه الثنائية الموقعة من خلال وضع ملف DLL خبيث باسم libexpat.dll في نفس الدليل المؤقت.
عند تشغيل Thunder.exe، تقوم ويندوز بتحميل ملف DLL المزيف بدلاً من الملف الأصلي بسبب ترتيب البحث الافتراضي لملفات DLL، مما يؤدي إلى تنفيذ شيفرة المهاجم مع الظهور بشكل شرعي تمامًا. تتيح هذه الطريقة للمجرمين الإلكترونيين تحقيق اختراق أنظمة بطرق تبدو طبيعية، مما يصعب اكتشافها.
مراحل متقدمة من البرمجيات الخبيثة
ينفذ ملف DLL الخبيث قدرات مكثفة لمكافحة التحليل قبل الانخراط في أنشطة الإصابة الفعلية. يقوم بفحص العمليات الجارية للكشف عن أدوات البحث الأمني وأجهزة المحاكاة (Sandboxes)، ثم يفحص موارد النظام للتأكد من أن الجهاز يلبي الحد الأدنى من المتطلبات للإصابة. إذا تم العثور على أدوات تحليل، يتم إنهاء البرمجية الخبيثة لتجنب الكشف.
بمجرد تجاوز النظام لهذه الفحوصات، يقوم ملف DLL بتعطيل خدمات تحديث ويندوز وتحميل ملف مشفر يسمى box.ini من الدليل المؤقت. يتم فك تشفير هذه الحمولة المشفرة باستخدام مفاتيح تشفير ثابتة وتنفيذها كشيفرة آلة خام مباشرة في ذاكرة النظام، مما يترك آثارًا قليلة على القرص الصلب.
Valley RAT: أداة وصول عن بعد متطورة
تتمثل الحمولة النهائية في Valley RAT، وهي أداة وصول عن بعد تنشئ بنية تحتية للتحكم والأوامر بشكل دائم على الأنظمة المصابة. يستخدم Valley RAT نظام فشل موازنة ثلاثي متطور للحفاظ على الاتصال بخوادم المهاجمين، ويتحول تلقائيًا بين مراكز القيادة الأساسية والثانوية والثالثة إذا فشلت الاتصالات.
تقوم البرمجية الخبيثة بتخزين تكويناتها في سجل ويندوز (Windows Registry) كبيانات ثنائية، مما يتيح للمهاجمين تحديث عناوين خوادم التحكم دون الحاجة إلى إعادة تثبيت البرمجية الخبيثة. يدعم بروتوكولات اتصال متعددة، بما في ذلك HTTP وHTTPS ومقابس TCP، مما يجعل من الصعب حظرها باستخدام تصفية الشبكة البسيطة.
بمجرد التثبيت، يمكن لـ Valley RAT تنفيذ أوامر المهاجمين، والتقاط مدخلات لوحة المفاتيح، وسرقة بيانات الاعتماد، ونقل الملفات، ونشر وحدات خبيثة إضافية عند الطلب. تسمح البنية المعيارية للمشغلين بتخصيص كل إصابة بقدرات متخصصة مصممة خصيصًا لقيمة الهدف ودوره داخل المؤسسة المخترقة، مما يجعل هذا التهديد خطيرًا بشكل خاص للمؤسسات الهندية.