شهدت الساحة السيبرانية مؤخرًا الكشف عن أداة تجسس إلكتروني جديدة تعرف باسم “ScoringMathTea” تابعة لمجموعة Lazarus APT، ما يمثل تطورًا نوعيًا في قدراتها الهجومية. تأتي هذه الأداة ضمن حملة “DreamJob” التي تستهدف الجهات العاملة في مجال تكنولوجيا الطائرات المسيرة، بهدف سرقة الملكية الفكرية والمعرفة التقنية الحيوية.
تم تحديد هذه البرمجية الخبيثة، المطورة بلغة C++، كجزء من جهود مجموعة Lazarus APT، التي يُعتقد ارتباطها بالبرنامج الحكومي الكوري الشمالي. تستخدم الأداة حاليًا مسارين مختلفين لتوزيعها، وتوفر للمهاجمين سيطرة كاملة على الأنظمة المخترقة.
ScoringMathTea: تجسس سيبراني متقدم
تتميز أداة ScoringMathTea بقدرتها على تنفيذ الأوامر عن بعد، وتحميل الإضافات في الذاكرة، بالإضافة إلى آليات عمل متطورة تضمن بقاء المهاجمين لفترات طويلة داخل الشبكات المستهدفة. تسعى المجموعة من خلال هذه البرمجية إلى تعزيز قدراتها في عمليات التجسس الإلكتروني وسرقة المعلومات الحساسة.
آليات متقدمة لتجاوز الكشف
يبرز مدى خطورة هذه الأداة في معماريّتها المعقدة التي صممت خصيصًا لتجنب أنظمة الكشف الأمنية على مستوى الشبكات والأجهزة الطرفية. فقد أشار أحد الباحثين الأمنيين إلى أن ScoringMathTea تستخدم طبقات متعددة من تقنيات التشويش والإخفاء.
تستخدم البرمجية خوارزمية تشفير استبدال متعددة الأبجدية ومخصصة، تعمل على إزالة التشويش عن البيانات النصية أثناء تشغيلها، مما يجعل عملية التحليل الثابت لها صعبة للغاية على فرق الأمن السيبراني.
تعتمد آلية فك التشفير على جدول بحث مكون من 64 حرفًا، وتحتفظ بحالة مفتاح ديناميكية تتغير مع كل حرف، مما يمنع أدوات استخراج النصوص البسيطة من الكشف عن تفاصيل إعداداتها.
حل ديناميكي لواجهات برمجة التطبيقات لتجاوز الأمن
تتضمن الميزة الدفاعية الأكثر بروزًا لهذه الأداة استخدامها لخوارزميات تجزئة (hashing) لواجهات برمجة التطبيقات (APIs) لتحديدها ديناميكيًا. فبدلاً من استدعاء واجهات برمجة التطبيقات الخاصة بنظام ويندوز بشكل مباشر، تقوم ScoringMathTea بتحديدها وقت التشغيل باستخدام خوارزمية تجزئة مخصصة.
تعمل هذه الخوارزمية باستخدام قيمة بذرة ثابتة، وتجمع بين قيم ASCII للأحرف وعمليات تجزئة مزاحة. تتيح هذه التقنية، جنبًا إلى جنب مع البحث في بنية PEB LOCATE لتحديد ملف kernel32.dll بشكل مستقل، للبرمجية تجاوز آليات اعتراض واجهات برمجة التطبيقات التقليدية المستخدمة من قبل البرمجيات الأمنية.
يتم التواصل مع خادم القيادة والتحكم عبر بروتوكولات HTTP أو HTTPS باستخدام تشفير متعدد الطبقات. تقوم الأداة أولاً بضغط البيانات، ثم تشفيرها باستخدام خوارزمية TEA أو XTEA بوضع CBC، وأخيرًا تطبيق ترميز Base64.
بالإضافة إلى ذلك، تقوم ScoringMathTea بانتحال هوية متصفح Microsoft Edge الشرعي لتمويه حركة مرورها ضمن النشاط الطبيعي للشبكة، مما يجعل الكشف عنها من خلال بصمات الشبكة صعبًا للغاية.
تكمن القوة الأساسية لهذه البرمجية في قدرتها على تحميل الإضافات بشكل انعكاسي، مما يسمح للمهاجمين بتنزيل وتنفيذ أي تعليمات برمجية بشكل كامل داخل الذاكرة دون الحاجة إلى حفظ أي ملفات على القرص. تنفذ هذه التقنية آلية تحميل ويندوز يدويًا وتتضمن آلية تدقيق CRC32 مدمجة للكشف عن أي تلاعب من قبل أدوات التصحيح.
من خلال هذه الآليات المتطورة، تمثل ScoringMathTea تهديدًا ناضجًا يتطلب اهتمامًا فوريًا من فرق الأمن السيبراني التي تراقب التهديدات المستمرة المتقدمة.