تعرضت مؤسسة مالية في جنوب آسيا مؤخرًا لهجوم سيبراني متطور استهدف أنظمة معلوماتها باستخدام أدوات برمجية خبيثة مصممة خصيصًا. شمل الهجوم استخدام برمجيتي BRUSHWORM و BRUSHLOGGER، مما أدى إلى سرقة الملفات وإتاحة الوصول المستمر للنظام وتسجيل ضغطات المفاتيح في الوقت الفعلي، مما يسلط الضوء على المخاطر المتزايدة التي تواجه المؤسسات المالية في المنطقة.
يبدو أن الهجوم تم تنفيذه بعناية، حيث تم تسليم مكوني البرامج الخبيثة كملفين منفصلين. استهدف الهجوم المؤسسة المالية في جنوب آسيا، مما يشير إلى نمط متزايد من الهجمات الموجهة.
BRUSHWORM و BRUSHLOGGER: أدوات هجوم جديدة تستهدف القطاع المالي
تُعد BRUSHWORM و BRUSHLOGGER أحدث الإضافات إلى ترسانة أدوات الهجوم السيبراني، حيث تستهدفان بشكل خاص المؤسسات المالية في جنوب آسيا. وقد حدد باحثون في Elastic Security Labs تفاصيل هذه الأدوات وتقنيات عملها.
تعمل BRUSHWORM كجهاز باب خلفي معياري، حيث تتنكر في صورة ملف نظام موثوق به. تتمثل وظيفتها الأساسية في إنشاء استمرارية للنظام، والتواصل مع خادم قيادة وتحكم خارجي، وتنزيل حمولات إضافية، والانتشار عبر محركات أقراص USB القابلة للإزالة، وسرقة المستندات الحساسة من الأنظمة المخترقة.
من ناحية أخرى، تتنكر BRUSHLOGGER كملفlibcurl.dll، وهو مكتبة ويندوز موثوقة بشكل شائع، باستخدام تقنية تعرف باسم تحميل جانب DLL. تتمثل مهمتها الوحيدة في تسجيل كل ضغطة مفتاح بصمت على الجهاز المخترق، مع تسجيل عنوان النافذة النشط لكل جلسة.
تفاصيل عملية الهجوم
تم اكتشاف هذه البرامج الخبيثة أثناء تحقيق في البنية التحتية للمؤسسة المالية المستهدفة. واجه الباحثون صعوبة في إعادة بناء التحقيقات الجنائية بعد الهجوم بسبب محدودية الرؤية على مستوى SIEM فقط في بيئة الضحية.
من خلال تحليل بيانات VirusTotal، كشف الباحثون عن ما يبدو أنه إصدارات تطوير مبكرة للباب الخلفي، تم تحميلها بأسماء ملفات مثلV1.exe،V2.exe، وV4.exe. يشير هذا إلى أن الجهة الفاعلة كانت تعمل بنشاط على تحسين مجموعة أدواتها قبل مرحلة النشر.
على الرغم من الطبيعة المستهدفة للهجوم، لم تعتمد أي من البرنامجين على تقنيات إخفاء أو تعبئة معقدة أو حماية متقدمة. لوحظ أن جودة الكود بشكل عام ضعيفة.
على سبيل المثال، تقوم BRUSHWORM بكتابة تكوينها المفكك إلى القرص النصي الواضح قبل إنشاء نسخة مشفرة ثم حذف النسخة الأصلية؛ وهذا تسلسل غير فعال يكشف عن ضعف في الانضباط التطويري. بالإضافة إلى ذلك، فإن استخدام البنية التحتية المجانية للـ DNS الديناميكي في إصدارات الاختبار وعدم وجود مفتاح إيقاف، دفع الباحثين إلى تقدير أن مؤلف البرامج الخبيثة غير متمرس نسبيًا، وربما استخدم أدوات توليد الكود بالذكاء الاصطناعي أثناء التطوير دون مراجعة كاملة للمخرجات.
آلية الإصابة والاستمرارية لـ BRUSHWORM
أحد الجوانب التشغيلية الملحوظة لهذا الهجوم هو كيفية اختراق BRUSHWORM للنظام بهدوء وضمان بقائها فيه. عند التنفيذ الأولي، تقوم البرامج الخبيثة بإنشاء عدة أدلة مخفية بمسارات ثابتة، بما في ذلكC:ProgramDataPhotoesPicsللبرنامج الخلفي الرئيسي وC:UsersPublicLibrariesللحمولات التي تم تنزيلها.
من المثير للاهتمام أن الخطأ الإملائي في كلمة “Photoes” بدلاً من “Photos” يظهر باستمرار في كلا المكونين، ويُعتقد أنه خطأ أصيل من المؤلف، ربما لمحاولة التمويه ضمن أدلة الوسائط الشرعية للمستخدم. لضمان البقاء على قيد الحياة بعد إعادة تشغيل النظام، تقوم BRUSHWORM بتسجيل مهمة مجدولة في ويندوز باسمMSGraphicsعبر واجهة مجدول المهام COM، وتم تكوينها لتشغيل البرنامج الخلفي في كل مرة يسجل فيها المستخدم الدخول.
ثم تقوم بجلب حمولة DLL من خادم القيادة والتحكم الخاص بها فيresources.dawnnewsisl[.]com/updtdllباستخدام طلب WinHTTP GET، وتحفظها باسمRecorder.dll، ثم تقوم بتشغيلها من خلال مهمة مجدولة ثانية باسمMSRecorderعبرrundll32.exe. في البيئات التي لا تتوفر فيها إمكانية الوصول إلى الإنترنت، تتحول BRUSHWORM إلى طريقة استخلاص مادية، حيث تقوم بنسخ جميع الملفات المسروقة مباشرة إلى أي محرك أقراص USB متصل لتجاوز الشبكات المعزولة.
ينصح فرق الأمن بتقييد تنفيذ الملفات التنفيذية غير الموقعة ومراقبة إنشاء المهام المجدولة غير العادية عن كثب، لا سيما المهام المسماةMSGraphicsأوMSRecorder. يمكن لبروتوكولات الكشف عن نقاط النهاية مع مراقبة نشاط USB منع انتشار BRUSHWORM عبر الوسائط القابلة للإزالة قبل أن ينتشر بشكل أكبر. يعد تدقيق سلوك تحميل DLL عبر نقاط النهاية أمرًا ضروريًا أيضًا لاكتشاف محاولات التحميل الجانبي مثل تلك التي تستخدمها BRUSHLOGGER. تتوفر قواعد YARA لتحديد كل من BRUSHWORM و BRUSHLOGGER عبر نقاط النهاية وبيئات الشبكة.