مجموعة القراصنة “آركين ويروولف” تضيف أداة برمجيات “لوكي 2.1” لترسانتها

تحديثات خطيرة في ترسانة “Arcane Werewolf”: المجموعة تتبنى أداة برمجيات خبيثة جديدة في هجماتها ضد قطاع التصنيع.

أظهرت تقارير أمنية حديثة قيام مجموعة التهديدات المعروفة باسم “Arcane Werewolf” أو “Mythic Likho” بتعزيز قدراتها الهجومية عبر نشر نسخة مطورة من برمجياتها الخبيثة المسماة “Loki 2.1”. وقد لوحظت هذه الهجمات في شهري أكتوبر ونوفمبر من العام الماضي، مستهدفة بشكل خاص شركات التصنيع الروسية.

Arcane Werewolf تتعمق في هجماتها بـ Loki 2.1

تواصل مجموعة “Arcane Werewolf” صقل تكتيكاتها، مما يعكس اهتمامها المستمر بقطاع التصنيع وتطويرها النشط لأدواتها البرمجية الخبيثة. وتشير هذه التحركات إلى استراتيجية مدروسة لتوسيع نطاق عملياتها وزيادة فعاليتها.

تمثل النسخة الأخيرة من “Loki” ترقية مهمة، حيث باتت تدعم العمل مع كل من إطاري ما بعد الاستغلال “Mythic” و”Havoc”. وهذا يمنحها مرونة أكبر ويزيد من خطورتها في أيدي المهاجمين ذوي الخبرة.

آلية الهجوم التفصيلية

تعتمد المجموعة في انتشار برمجياتها الخبيثة على رسائل البريد الإلكتروني التصيدية المصممة بعناية، والتي تبدو وكأنها صادرة عن شركات تصنيع مرموقة. تخدع هذه الرسائل الضحايا لتحويلهم إلى مواقع ويب مزيفة تحمل شعارات مؤسسات حقيقية.

عند النقر على الروابط الموجودة ضمن هذه الرسائل، يتم توجيه الضحايا إلى أرشيفات مضغوطة (ZIP) يتم استضافتها على خوادم القيادة والتحكم الخاصة بالمهاجمين. ويعمل هذا النهج بفعالية نظراً للثقة التي يوليها المستخدمون للبريد الإلكتروني الذي يبدو أنه قادم من علامات تجارية معروفة.

بمجرد قيام الضحية بتنزيل الأرشيف وفتحه، تبدأ سلسلة العدوى. وقد تمكن محللو Bi.Zone من تحديد هذا النوع من البرمجيات الخبيثة بعد تتبع طريقة التوزيع وتحليل عملية الإصابة.

بداية سلسلة العدوى

تبدأ عملية الهجوم عندما يقوم الضحية بفتح ملف اختصار خبيث، أو ملف LNK، مخفي داخل الأرشيف المضغوط. يقوم هذا الملف بتشغيل أمر باستخدام PowerShell، والذي بدوره يقوم بتنزيل ملف تنفيذي متنكر في هيئة ملف صورة من خادم المهاجم.

في الواقع، هذا الملف الذي تم تنزيله هو عبارة عن “dropper” (برنامج إخفاء) مكتوب بلغة البرمجة Go، ويحتوي على حمولات مشفرة مخفية بداخله. هذه الحمولات هي التي تمنح البرمجية الخبيثة قدراتها التشغيلية.

آلية عمل Loki 2.1

يشتمل برنامج “dropper” المكتوب بلغة Go على حمولتين منفصلتين يقوم بفك تشفيرهما وتنفيذهما بالتتابع. أولاً، يقوم بإنزال حمولة خبيثة تسمى chrome_proxy.pdf، وهي مسؤولة عن التواصل مع خادم القيادة والتحكم الخاص بالمهاجم.

تقوم هذه الحمولة الخبيثة بجمع معلومات حول النظام من الكمبيوتر المصاب، بما في ذلك اسم الجهاز، وإصدار نظام التشغيل، وعناوين IP الداخلية، واسم المستخدم. ثم تقوم بتشفير هذه البيانات المسروقة باستخدام خوارزمية AES وإرسالها مرة أخرى إلى المهاجمين عبر اتصالات HTTPS.

بعد ذلك، تنتظر الحمولة الأوامر من المهاجمين، لتكون جاهزة لحقن تعليمات برمجية خبيثة في العمليات الجارية، أو تحميل ملفات إلى نظام الضحية، أو استخراج بيانات حساسة. إضافة إلى ذلك، يمكن لهذه الحمولة إنهاء عمليات معينة على الكمبيوتر المصاب، مما يمنح المهاجمين سيطرة كبيرة على تشغيل النظام، ويتيح لهم إزالة أدوات الأمان أو البرامج الأخرى التي قد تعيق أنشطتهم.