مخترقون يحولون تطبيق استخبارات موثوق إلى منصة إطلاق برمجيات خبيثة عبر الاستيلاء على نطاق التطبيق

كشفت فرق بحث أمني عن حملة هجومية متطورة تستغل أداة برمجية موثوقة من شركة إنتل، تم توقيعها رقمياً، لتحميل برمجيات خبيثة بشكل سري دون تعديل الكود الأصلي. يُطلق على هذه الحملة اسم “عملية فانتوم سي إل آر” (Operation PhantomCLR)، وتمثل تطوراً خطيراً في كيفية إخفاء المهاجمين لأنشطتهم داخل الأنظمة الموثوقة لتجنب الكشف.

يستغل الهجوم ميزة في بيئة عمل .NET من مايكروسوفت تُعرف بـ AppDomainManager. عند بدء تشغيل تطبيق .NET، تبحث البيئة تلقائياً عن ملف إعدادات في نفس مجلد الملف التنفيذي. وقد اكتشف المهاجمون طريقة لإساءة استخدام هذا السلوك عبر وضع ملف إعدادات مُسلح بجانب ملف شرعي من إنتل يُدعى IAStorHelp.exe، وهو أداة مساعدة لتخزين إنتل حقيقية وموقعة.

بهذه الطريقة، يتم تشغيل الكود الخبيث أولاً قبل أن يبدأ برنامج إنتل عملياته العادية، مما يجعله غير مرئي تقريباً لأدوات الأمان التقليدية. وبحسب تقارير، تستهدف هذه العملية بشكل أساسي قطاعات مالية في الشرق الأوسط وأوروبا والشرق الأوسط وأفريقيا.

آلية التسلل والبرمجيات الخبيثة

تبدأ الحملة عبر رسائل تصيد موجهة (spear-phishing) تحتوي على أرشيف مضغوط (ZIP). وبداخل الأرشيف، يوجد ما يبدو أنه مستند سياسة عمل عن بعد بصيغة PDF صادر عن وزارة حكومية سعودية. الحقيقة أن الملف هو في الواقع اختصار مُقنع (pdf.lnk) يقوم، عند النقر عليه، بتشغيل برنامج إنتل التابع في الخلفية لتفعيل سلسلة الهجوم بأكملها، بينما يتم فتح المستند المضلل على الشاشة لتجنب إثارة الشكوك.

حددت فرق Cyfirma هذا الإطار بعد مراقبة مستمرة للتهديدات المتطورة التي تستهدف بيئات الشركات. وكشف تحليلهم عن إطار عمل متعدد المراحل للتحكم بعد الاختراق، يمتلك قدرات مشابهة لأدوات هجومية ناضجة مثل Cobalt Strike و Brute Ratel C4، لكن دون ربطه بشكل واضح بمجموعة مهاجمين معروفة.

مستوى الانضباط في التصميم، والهيكلية المعيارية، وتقنيات مكافحة الأدلة الجنائية تشير إلى عمل مجموعة ذات موارد جيدة وخبرة تشغيلية عالية. فور سيطرة المهاجم، يحصل على وصول كامل عن بعد إلى النظام المخترق، بما في ذلك القدرة على سرقة بيانات الاعتماد، والسجلات المالية، والملكية الفكرية.

يشكل الخطر الأوسع على المنظمات أمراً جسيماً. وبما أن البرمجية الخبيثة تعمل بالكامل داخل عملية موثوقة وموقعة، فإن معظم أدوات كشف النقاط الطرفية ومكافحة الفيروسات لن تكتشفها. يتم توجيه اتصالات القيادة والتحكم (C2) عبر البنية التحتية لشبكة توصيل المحتوى (CDN) من Amazon CloudFront، باستخدام تقنية تُعرف بـ “domain fronting”، مما يجعل حركة المرور الضارة تبدو كنشاط طبيعي لخدمات السحابة.

مراحل التهديد المتطورة

الهجوم يتبع ست مراحل مصممة بعناية، كل منها مصممة لتجاوز طبقة محددة من الأمان في الشركات. يبدأ بالتسليم عبر أرشيف ZIP، ثم ينتقل إلى قيام الضحية بتنفيذ ملف الاختصار المُقنع.

من هناك، يتولى اختطاف AppDomainManager العمل عبر ملف الإعدادات المُسخّر، والذي يقوم بتحميل ملف DLL غير شرعي اسمه IAStorHelpMosquitoproof.dll قبل تشغيل منطق البرنامج الشرعي.

لتجنب إطلاق بيئات التحليل الآلي (sandbox)، تستخدم البرمجية الخبيثة استراتيجية تأخير ذكية من جزأين. أولاً، تقوم بعملية حسابية مكثفة لأعداد أولية تحرق 60 ثانية من وقت المعالجة دون إجراء أي استدعاءات نظام مشبوهة. ثانياً، تمر عبر 892,007 تكرار لحلقة استخلاص مفتاح AES المقيد، وتقوم بعمليات فك تشفير تجريبية باستخدام قيم SHA-256 مجزأة لعدد صحيح حتى تجد المفتاح الصحيح في التكرار 41,410. كلتا المرحلتين تستهلكان معظم نوافذ تحليل الـ sandbox قبل ظهور أي سلوك خبيث.

بمجرد فك تشفير الحمولة وتنشيطها، تستخدم البرمجية الخبيثة تقنية JIT trampoline لتشغيل shellcode بالكامل داخل الذاكرة، متجاوزة وظائف تخصيص الذاكرة القياسية في ويندوز التي تراقبها معظم أدوات الأمن. كما تقوم البرمجية الخبيثة بـ “عاصفة حقن DLL”، حيث تقوم بتحميل 16 مكتبة ويندوز تبدو شرعية بترتيب عشوائي لإغراق أنظمة المراقبة الأمنية بالضوضاء وإخفاء نشاطها الحقيقي. بعد اكتمال التنفيذ، تقوم بتنظيف جميع آثار الذاكرة على مرحلتين باستخدام NtProtectVirtualMemory و NtFreeVirtualMemory، مما يجعل الاسترداد الجنائي صعباً للغاية.

إجراءات مواجهة التهديد

يجب على فرق الأمن اتخاذ الإجراءات التالية استجابة لهذا التهديد:

إجراءات استراتيجية:

• نشر توقيعات كشف محدثة عبر جميع نقاط النهاية فوراً، حيث أن الإطار يتجاوز ضوابط EDR ومكافحة الفيروسات التقليدية بدونها.
• الاستثمار في فحص SSL/TLS لحركة المرور الموجهة إلى منصات CDN مثل CloudFront، حيث أن حظر IP فقط لن يوقف تقنية domain fronting.
• إطلاق مبادرة لتعزيز أمان .NET تركز على تقييد استخدام AppDomainManager، حيث أن هذه التقنية يتم تبنيها من قبل العديد من جهات التهديد.

إجراءات تكتيكية:

• حظر نطاقات C2 المحددة على مستوى DNS وجدار الحماية: dp8519iqiftub[.]cloudfront[.]net والنقطة الخلفية AWS ELB المرتبطة بها.
• مراجعة سجلات DNS لتحديد أي أنظمة قامت بالفعل بحل هذه النطاقات الضارة.
• إجراء عمليات مسح لنقاط النهاية للكشف عن أي ملفات تنفيذية مشبوهة تعمل من مسارات غير قياسية.

إجراءات تشغيلية:

• فرض قيود على AppDomainManager من خلال قائمة التطبيقات المسموح بها وضوابط السياسات لمنع اختطاف تدفق التنفيذ.
• تطبيق فحص SSL/TLS خصيصاً للعمليات غير المتصفح التي تتواصل مع نقاط نهاية CDN.
• تمكين بيئات التنفيذ المقيدة لتقييد إساءة استخدام مكونات بيئة .NET ومحركات البرمجة النصية.