كشفت تقارير أمنية حديثة عن حملة تجسس جديدة تشنها مجموعة قرصنة تُعرف باسم “Ashen Lepus”، والتي يُعتقد أنها مرتبطة بحركة حماس، مستهدفة جهات حكومية ودبلوماسية في منطقة الشرق الأوسط. تستخدم المجموعة برامج خبيثة متطورة، بما في ذلك برمجية AshTag، لسرقة الوثائق الحساسة والحفاظ على وصول طويل الأمد للأنظمة المخترقة.
تعتمد الحملة على استخدام وثائق مزيفة بأسلوب واقعي باللغة العربية، تتضمن محتوى متعلق بالسياسة الإقليمية ومحادثات أمنية، لخداع المسؤولين وحثهم على فتح مستندات مصابة. تسعى هذه الاستراتيجية إلى جمع معلومات استخباراتية استراتيجية، وتجاوزت الصراعات الإقليمية الأخيرة وما بعدها، مما يؤكد تركيز المجموعة على جمع المعلومات بشكل مستمر.
حملة تجسس Ashen Lepus تستهدف الكيانات الدبلوماسية
تُظهر التحقيقات الأمنية تعقيداً متزايداً في أساليب مجموعة Ashen Lepus، المعروفة أيضاً باسم WIRTE، في شن هجماتها. تشمل هذه الهجمات استراتيجيات تصيد احتيالي دقيقة، حيث يتم إرسال ملفات PDF تبدو وكأنها مستندات عادية، لكنها تقوم بتوجيه الضحية لتحميل أرشيفات RAR تحتوي على برامج تنفيذية خبيثة، محملات أولية، وملفات أخرى مضللة.
عند تشغيل هذه الملفات، يتم تحميل برمجية خبيثة مخفية (DLL) في الذاكرة، بينما تظهر وثيقة أخرى غير ضارة على الشاشة لتقليل الشكوك. هذه الطريقة تضمن عدم ترك آثار واضحة على القرص الصلب، مما يجعل اكتشاف الهجوم أكثر صعوبة.
آلية الإصابة ببرمجية AshTag
الباحوثون في شركة Palo Alto Networks، الذين تعقبوا نشاط Ashen Lepus، اكتشفوا أن المجموعة تستخدم مجموعة برمجيات خبيثة جديدة تُدعى AshTag. تتميز هذه البرمجيات بتغييرات واضحة في طبيعة البرمجيات الخبيثة والبنية التحتية للقيادة والتحكم (C2).
بدلاً من استخدام نطاقات مملوكة بالكامل للمهاجمين، تقوم المجموعة الآن بإخفاء حركة مرورها خلف نطاقات فرعية تبدو شرعية، مثل api.healthylifefeed[.]com و auth.onlinefieldtech[.]com. هذا التمويه يجعل من الصعب فصل حركة مرورهم عن الأنشطة الشبكية العادية.
داخل الحملة، هناك شبكة من المراحل التي تبدأ بمحمل أولي يُدعى AshenLoader، يتبعه مرحلة ثانوية تسمى AshenStager، وأخيراً مكون تنسيق يُعرف باسم AshenOrchestrator. هذا المكون الأخير هو المسؤول عن التحكم في كافة الوحدات اللاحقة.
يقوم AshenLoader بإرسال بيانات أساسية عن النظام إلى خادم القيادة والتحكم، ثم يجلب AshenStager من محتوى HTML مخفي. بدوره، يطلب AshenStager صفحة أخرى، ويستخرج حمولة مشفرة بتنسيق Base64 مدفونة داخل علامات HTML خاصة.
يتلقى AshenOrchestrator ملف تعريف مشفر بتنسيق Base64، يتضمن نطاقات خادم القيادة والتحكم، عناوين URL للوحدات، مفاتيح تشفير، وقيم عشوائية لتوقيت إرسال البيانات. يقوم أولاً باشتقاق مفتاح تشفير AES من معاملات معينة، ثم يفك تشفير مفتاح XOR المستخدم لفك ترميز الحمولة التالية.
هذه الحمولة هي عبارة عن كائن JSON آخر مشفر، يحدد اسم الفئة للوحدة، مثل SN (لجمع بصمات النظام) أو SCT (لالتقاط الشاشة)، وطريقة التحميل. يمكن أن توجه هذه الطريقة المنسق لحفظ الوحدة على القرص، أو تنفيذها كـ .NET assembly، أو تحميل محتوى إضافي، أو حقن التعليمات البرمجية في الذاكرة.
واحدة من الوحدات المستردة، SN، تقوم بجمع معلومات عن النظام من خلال استعلامات WMI بسيطة، وترسل معرفًا فريدًا للضحية إلى المهاجمين. تساعد هذه المعلومات مجموعة Ashen Lepus في التركيز على الأنظمة الدبلوماسية ذات القيمة العالية.
يعكس هذا التنسيق الدقيق للمحملات، والحمولات المخفية في HTML، والمكونات النمطية المصممة بلغة .NET، أن مجموعة Ashen Lepus تعمل باستمرار على تطوير أدواتها مع الحفاظ على بساطة وقابلية الحمولة للتكيف، وذلك لتعزيز قدرتها على التجسس الدبلوماسي الخفي.