تتعرض الجهات القضائية في الأرجنتين لموجة جديدة من الهجمات الإلكترونية الموجهة، حيث يستغل المهاجمون مستندات قضائية وهمية لإيقاع العاملين في المجال القانوني في فخ البرمجيات الخبيثة الخطيرة، فيما تُعرف بعملية “الوصول الخفي” (Operation Covert Access).
تعتمد هذه الحملة على حصان طروادة للوصول عن بعد (RAT) تم بناؤه بلغة Rust، والمعروف باسم COVERT RAT، ويتم نشره عبر رسائل بريد إلكتروني تصيدية متطورة تحاكي بعناية فائقة الاتصالات الرسمية للمحاكم الفيدرالية الأرجنتينية.
وبمجرد دخوله إلى النظام، يمنح هذا التهديد المهاجمين سيطرة مستمرة على الجهاز المصاب وجميع البيانات المخزنة عليه، مما يشكل خطراً بالغاً على سريتها وسلامتها.
هجمات COVERT RAT تستهدف النظام القضائي الأرجنتيني
تستهدف الحملة بشكل مباشر المنظومة القانونية في الأرجنتين، بما في ذلك المحاكم الفيدرالية، والممارسين القانونيين، ووكالات العدالة الحكومية، والمؤسسات الأكاديمية، ومنظمات الدفاع عن الحقوق.
وقام المهاجمون بصياغة رسائل البريد الإلكتروني التصيدية حول أحكام قضائية حقيقية صادرة عن المحاكم الفيدرالية الأرجنتينية تتعلق بمراجعات الاحتجاز الوقائي، مدركين تماماً أن المتخصصين القضائيين لن يشككوا في شرعية هذه المستندات.
إن هذا الاختيار الدقيق لمحتوى الرسائل هو ما يجعل الحملة فعالة للغاية، حيث يستغل ثقة العاملين في النظام القانوني بدلاً من الاعتماد فقط على الفضول أو الخوف.
وقد تولت فرق تحليل التهديدات لدى Point Wild مهمة تحديد هذه العملية والتحقيق فيها، مستندة في ذلك إلى الأبحاث الأساسية التي نشرتها شركة Seqrite.
وقدم تحليلهم تفصيلاً معمقاً لتدفق تنفيذ PowerShell، وتقنيات استرداد الحمولة، وطرق التمويه التي استخدمها المهاجمون في كل مرحلة من مراحل الهجوم.
وأكد التحليل أن هذه ليست هجوماً بسيطاً بخطوة واحدة، بل هي جهود اختراق متعددة الطبقات مصممة للبقاء داخل شبكات المؤسسات دون اكتشاف لأطول فترة ممكنة.
يتجاوز هذا التهديد حدود المراقبة الأساسية؛ فالـ COVERT RAT يتصل بسيرفر قيادة وتحكم (C2) على العنوان 181.231.253.69:4444، ومن خلاله يمكن للمهاجمين إصدار تعليمات مشفرة تغطي كل شيء بدءاً من سرقة الملفات وصولاً إلى نشر برامج الفدية.
يسمح تصميمه المعياري بدعم جمع بيانات الاعتماد، وتصعيد الامتيازات، وعمليات الملفات المشفرة، وإعادة الدخول المستمر.
ما يجعله مقلقاً بشكل خاص هو قدرته المدمجة على التنظيف؛ فعند انتهاء المهاجمين من عملهم، يتم مسح كل أثر للبرمجية الخبيثة بأمر واحد، مما يجعل عملية التحقيق الجنائي بعد الحادثة أكثر صعوبة بشكل كبير.
آلية الإصابة متعددة المراحل
تتمثل طريقة التسليم وراء هذه الحملة في كونها متعددة المراحل عمداً. يقوم بريد إلكتروني تصيدي بتسليم أرشيف ZIP يحتوي على ثلاثة مكونات: ملف اختصار لنظام Windows (LNK)، وسكربت تحميل دفعي (batch loader)، ووثيقة PDF قضائية مقنعة كطُعم.
عندما يفتح الهدف ملف الاختصار، يتم تشغيل السكربت الخبيث بهدوء في الخلفية بينما تفتح وثيقة PDF كطُعم بشكل طبيعي في الواجهة الأمامية. بعد ذلك، تختبئ الحمولة النهائية باسم msedge_proxy.exe داخل مجلد بيانات المستخدم الخاص بمتصفح Microsoft Edge، وهي خطوة محسوبة للاندماج مع عمليات النظام الموثوقة.
عندما يقوم المستلم بفتح ملف الاختصار، المسمى juicio-grunt-posting.pdf.lnk والمزود بأيقونة PDF، فإنه يستدعي بصمت PowerShell مع تعطيل سياسة التنفيذ وإطلاق الوضع المخفي.
يقوم هذا تلقائياً بتشغيل حمل الملفات الدفعي health-check.bat، والذي يتصل بمستودع مستضاف على GitHub ويقوم بتنزيل حمولة RAT.
إن استخدام GitHub كقناة تسليم يضيف شرعية متصورة، حيث أن حركة المرور إلى هذه المنصة نادراً ما تثير تنبيهات على مستوى الشبكة.
بمجرد تنزيل الحمولة، يتم تنفيذها عبر أمر PowerShell Start-Process ويتم تخزينها باسم msedge_proxy.exe.
يقوم البرنامج الضار بعد ذلك بتشغيل فحوصات البيئة – حيث يستعلم عن الشركة المصنعة للنظام عبر WMIC، ويقوم بمسح قائمة المهام بحثاً عن أدوات مثل Wireshark و OllyDbg و x64dbg، ويفحص مسارات سجل النظام المرتبطة بـ VMware و VirtualBox و Hyper-V.
كما يعمل على فحص كتلة بيئة العملية (PEB) للكشف عن المصححات النشطة ويقيس سلوك التوقيت باستخدام QueryPerformanceFrequency لاكتشاف البيئات المحاكية.
فقط عندما تجتاز جميع الفحوصات، يبدأ RAT في الإبلاغ عن سيرفر C2 الخاص به وينتظر أوامر المشغل.
يجب على فرق الأمن والأفراد العاملين ضمن البيئات القضائية أو القانونية اتخاذ الإجراءات الوقائية التالية:
تحديث برامج مكافحة الفيروسات باستمرار والتأكد من تفعيل الحماية في الوقت الفعلي في جميع الأوقات.
عدم فتح مرفقات البريد الإلكتروني من مرسلين غير موثوق بهم مطلقاً، خاصة الملفات المضغوطة.
تجنب النقر على الروابط المشبوهة أو تنزيل الملفات من مصادر خارج القنوات الرسمية.
المراقبة المنتظمة للعمليات قيد التشغيل في مدير المهام والتحقق من الإدخالات غير المألوفة مثل msedge_proxy.exe.
عدم تثبيت البرامج المقرصنة أو المسروقة، حيث أنها غالباً ما تكون ناقلات عدوى ثانوية.