كشفت شركة إيلاستيك سيكيوريتي لابز عن حملة تجسسية متطورة تستغل إحدى إضافات برنامج Obsidian الشهير Multi-platform malware attacks، المعروفة باسم “Shell Commands”، لتنفيذ هجمات برمجيات خبيثة عبر منصات متعددة. تهدف هذه الحملة، تحت الاسم الرمزي REF6598، بشكل خاص إلى الأفراد العاملين في قطاعي المال والعملات المشفرة.
يبدأ الهجوم بخطة هندسة اجتماعية دقيقة، حيث يتواصل المهاجمون مع الضحايا عبر LinkedIn، متظاهرين بأنهم ممثلون لشركة استثمار جريء. بعد تفاعل الضحية، يتم نقل المحادثة إلى مجموعة على Telegram، حيث ينضم شركاء وهميون لتعزيز مصداقية التفاعل.
استغلال الملحقات لتنفيذ Multi-platform malware attacks
تتضمن الخطوة التالية توجيه الضحية لاستخدام Obsidian، الذي يتم تقديمه كقاعدة بيانات داخلية للشركة. بعد ذلك، يتم تزويدهم ببيانات اعتماد للوصول إلى “خزنة” (vault) مستضافة سحابياً، والتي يتحكم فيها المهاجم بالكامل.
فريق الباحثين في إيلاستيك، المكون من سليم بتام وسمير بوسعيد ودانيال ستيبانيك، اكتشف هذه الحملة بعد رصد تنبيه بسلوك PowerShell مشبوه، مع Obsidian كعملية أب. أكد الباحثون أن ملحق Shell Commands، المثبت داخل “الخزنة” الخبيثة، تم تكوينه لتنفيذ أوامر shell مصممة خصيصاً من قبل المهاجم بمجرد فتح “الخزنة”، دون الحاجة لأي تفاعل إضافي من المستخدم.
آلية الهجوم على مختلف الأنظمة
تستهدف هذه الحملة كلاً من أنظمة Windows و macOS. في بيئة Windows، يؤدي الهجوم إلى نشر برنامج فدية (RAT) لم يكن مسجلاً من قبل، يطلق عليه اسم PHANTOMPULSE. هذا البرنامج الخبيث يوفر باباً خلفياً كاملاً، قادراً على تسجيل ضغطات المفاتيح، والتقاط لقطات الشاشة، وحقن العمليات، وتصعيد الامتيازات.
أما على أنظمة macOS، فيستخدم الهجوم قطعة برمجية مخفية تعتمد على AppleScript، بالإضافة إلى آلية احتياطية للتواصل مع خادم القيادة والتحكم (C2) عبر Telegram. كلا المسارين مصممان للتخفي خلف سلوك التطبيقات العادي، مما يزيد من صعوبة الكشف بواسطة الوسائل التقليدية.
كيفية حدوث الإصابة
بمجرد أن يفتح الضحية “الخزنة” التي يتحكم بها المهاجم ويفعل مزامنة الملحقات المجتمعية، يتم تنزيل ملف التكوين لملحق Shell Commands الخبيث، المسمى data.json، وتشغيله بصمت.
في نظام Windows، يستخدم الملحق استدعاءين لـ Invoke-Expression مع سلاسل نصية مشفرة بـ Base64، للتواصل مع خادم مؤقت لاسترداد نص PowerShell. يقوم هذا النص بعد ذلك باستخدام BitsTransfer لتنزيل ملف تنفيذي 64 بت يسمى syncobs.exe، ويرسل تقارير مرحلية إلى خادم القيادة والتحكم باستخدام رسائل حالة ملونة.
التسلل والتخفي
يقوم الملف التنفيذي الذي تم تنزيله، والذي أطلق عليه الباحثون اسم PHANTOMPULL، بفك تشفير حمولة مشفرة باستخدام AES-256-CBC من dentro موارده الخاصة، ويقوم بتحميلها بالكامل في الذاكرة دون كتابتها على القرص، مما يجعل الكشف التقليدي المستند إلى الملفات أمراً صعباً.
يستخدم PHANTOMPULL أيضاً تقنية “timer queue callback” مع تأخير قصير لمحاولة التحايل على بيئات التحليل الآلي (sandboxes). بالإضافة إلى ذلك، يحتوي المُحمّل على كتل رمز ميتة ووظيفة تحقق من السلامة وهمية، تهدف إلى إضاعة وقت المحللين أثناء الهندسة العكسية.
آلية القيادة والتحكم الفريدة
يستخدم برنامج PHANTOMPULSE، البرنامج الخبيث النهائي، تقنية جديدة لحل عناوين C2 تعتمد على بيانات عامة من سلسلة كتل Ethereum. يقوم البرنامج بالاستعلام عن واجهات برمجة التطبيقات (APIs) الخاصة بـ Blockscout عبر ثلاث شبكات بلوكتشين، وقراءة عناوين C2 المشفرة بـ XOR من حقول الإدخال للمعاملات المرتبطة بعنوان محفظة ثابت.
ومع ذلك، لاحظ الباحثون وجود ثغرة تصميم كبيرة في هذه الآلية: بما أن PHANTOMPULSE يختار دائماً أحدث معاملة دون التحقق من مرسلها، يمكن لأي طرف يستخرج عنوان المحفظة ومفتاح XOR من البرنامج الثنائي أن يرسل معاملة منافسة لإعادة توجيه جميع الأجهزة المصابة إلى خادم “sinkhole”.
توصيات أمنية
يجب على المؤسسات في قطاعي المال والعملات المشفرة مراقبة عمليات إنشاء العمليات الفرعية غير العادية من تطبيقات Electron مثل Obsidian. يُنصح بتفعيل أدوات الكشف السلوكي على نقاط النهاية، وتنفيذ سياسات صارمة لتثبيت الملحقات المجتمعية حيثما أمكن.
تُنصح فرق الأمن بالبحث عن أحداث الملفات التي تتطابق مع مسارات obsidian-shellcommands وحظر البنية التحتية المعروفة، بما في ذلك 195.3.222[.]251 و panel.fefea22134[.]net. تقدم قواعد YARA المنشورة من إيلاستيك لكلا البرنامجين الخبيثين نقطة انطلاق عملية للكشف عبر البيئات المختلفة.