يشهد المشهد السيبراني تطوراً مقلقاً مع اتساع نطاق حملة KongTuke المتقدمة. تعمل هذه المجموعة من الجهات التهديدية منذ منتصف عام 2025، وقد واصلت صقل تقنياتها لتجاوز مرشحات الأمن المؤسسية التقليدية. يستخدم المهاجمون سجلات DNS TXT لتنفيذ أوامر PowerShell، مما يعقد جهود الكشف.
تتمثل الأداة الرئيسية التي يستخدمونها في “ClickFix”، وهي آلية هندسة اجتماعية تخدع المستخدمين غير الحذرين لإصلاح أخطاء محاكاة للمواقع الإلكترونية يدوياً. يواجه الضحايا أعطالاً وهمية في المتصفح أو اختبارات تحقق مزيفة على مواقع شرعية مخترقة.
تعليمات مضللة تدفعهم إلى نسخ وتنفيذ نص برمجي خبيث مباشرة في مربع حوار “Run” في ويندوز أو في طرفية PowerShell. هذه الطريقة “للإصابة الذاتية” تتجاوز بفعالية حماية التنزيل الآلي، حيث تستفيد من صلاحيات المستخدم لتنفيذ تعليمات برمجية غير مصرح بها.
ومع ذلك، ظهر تصعيد كبير في القدرات التقنية مؤخراً. فقد اكتشف محللون في Unit 42 أن الإصدارات الأحدث من KongTuke تستخدم الآن سجلات DNS TXT لإخفاء مرحلتها التالية بخبث. بدلاً من الاتصال بخادم ويب محدد عبر HTTP، يقوم النص البرمجي الأولي بالاستعلام عن سجلات DNS لنطاق يبدو شرعياً لاسترداد تعليمات المرحلية الخبيثة من السجل.
هذه الطريقة تزيد من صعوبة الكشف للمدافعين الذين يعتمدون على تحليل حركة مرور HTTP القياسية. من خلال تضمين الحمولة ضمن استجابات DNS، يمزج المهاجمون حركة مرورهم الخبيثة بسلاسة مع الضوضاء الخلفية المستمرة لعمليات البحث عن عناوين الإنترنت.
الهدف النهائي يظل نشر برامج ضارة شديدة، وغالباً ما يؤدي إلى تثبيت برامج التروجان للوصول عن بعد مثل Interlock أو تهديدات أخرى مستمرة داخل الشبكة.
استخدام سجلات DNS TXT في استهداف KongTuke
يتمثل الابتكار التقني في آلية استرداد الحمولة. عندما يقوم الضحية بتنفيذ مقتطف ClickFix الأولي، لا يقوم بتنزيل ملف على الفور. بدلاً من ذلك، يقوم بتشغيل أمر PowerShell الذي يجري بحث DNS لسجل TXT محدد.
هذه السجلات، المصممة في العادة للاحتفاظ بمعلومات نصية للتحقق من صحة النطاقات، تحتوي على سلسلة الأوامر المرحلية المطلوبة لجلب وتنفيذ الحمولة النهائية. وغالباً ما تسمح الضوابط الأمنية بحركة مرور DNS بحرية لضمان الاتصال، مما يخلق نقطة عمياء خطيرة.
يقوم البرنامج النصي بتحليل النص من استجابة DNS وتنفيذه في الذاكرة، تاركاً أثراً ضئيلاً على القرص. يسمح هذا الاسترداد “بدون ملفات” لحملة KongTuke بالحفاظ على ملف تعريف منخفض مع إنشاء وجود دائم على نقاط النهاية المخترقة.
تشمل التوصيات حظر النطاقات المسجلة حديثاً، والتحقق من حركة مرور DNS بحثاً عن أي شذوذ، ومراقبة سجلات تنفيذ PowerShell بدقة بحثاً عن أوامر DNS مشبوهة.