حملة تصيد احتيالي متطورة تستهدف موظفي الشركات عبر لينكد إن
تكشف تقارير أمنية حديثة عن حملة تصيد احتيالي (Phishing Campaign) متقدمة تستغل منصة لينكد إن للتواصل المهني لتوزيع برمجيات خبيثة خطيرة، مما يهدد أمن الشركات حول العالم. تسعى هذه الحملة إلى استغلال الثقة التي تولدها المنصة لاختراق أنظمة الموظفين.
تستخدم الجهات المهاجمة أساليب مقنعة لخداع الموظفين، معتمدة على طبيعة لينكد إن كبيئة مهنية موثوقة. يسهل هذا النهج على المهاجمين إقناع الضحايا بتنزيل وتنفيذ ملفات ضارة.
تمثل هذه الطريقة في الهجوم تحدياً كبيراً للأمن السيبراني، نظراً لأن منصات التواصل الاجتماعي غالباً ما تقع خارج نطاق الدفاعات الأمنية التقليدية المعتمدة على البريد الإلكتروني.
تقوم الحملة على سلسلة منظمة من الخطوات. يبدأ المهاجمون بإرسال رسائل تصيد عبر لينكد إن تحتوي على روابط لتنزيل أرشيفات WinRAR قابلة للاستخراج مسبقاً، وهي ملفات تم تعديلها لتضمين برمجيات خبيثة. تم تصميم أسماء الملفات هذه بعناية لتتناسب مع دور المستلم أو مجال عمله، مثل “UpcomingProducts.pdf” أو “ProjectExecutionPlan.exe”، مما يخلق سبباً قوياً للمستهدف للتفاعل مع المحتوى الذي تم تنزيله.
بمجرد تشغيل هذه الأرشيفات، تقوم باستخراج مكونات شرعية وأخرى خبيثة تعمل معاً لاختراق النظام المستهدف. يسمح هذا الأسلوب لمجرمي الإنترنت بتجاوز العديد من أدوات الكشف الأمني مع الحفاظ على تكاليف تشغيل منخفضة.
تقنية DLL Sideloading لتجاوز الدفاعات وتحقيق اختراق مستمر
قام محللون في شركة ReliaQuest بتحديد هذه الحملة وفحصها، واكتشفوا أنها تستخدم آلية إصابة متطورة متعددة المراحل تجمع بين تقنية تحميل مكتبات الربط الديناميكي (DLL Sideloading) وسكربت مكتوب بلغة بايثون مفتوحة المصدر. كشفت أبحاثهم أن سلسلة الهجوم تنفذ بسرعة، وغالباً ما تكمل أهدافها الخبيثة في غضون ساعات.
تُظهر آلية الإصابة المستخدمة في هذه الحملة كيف يستغل المهاجمون التطبيقات الموثوقة لتحقيق سيطرة طويلة الأمد على النظام. عندما يقوم الضحايا باستخراج وتشغيل الأرشيف الخبيث، فإنهم يقومون عن غير قصد بتشغيل تطبيق قارئ PDF شرعي. ومع ذلك، قام المهاجمون بوضع ملف مكتبة ربط ديناميكي (DLL) تم تعديله في نفس الدليل، مستغلين بذلك تقنية تُعرف باسم DLL Sideloading.
يقوم تطبيق قارئ PDF تلقائياً بإعطاء الأولوية لتحميل ملفات DLL من دليله المحلي قبل التحقق من أدلة النظام، مما يؤدي إلى تنفيذ ملف DLL الخبيث بدلاً من الملف الشرعي. يحدث هذا التنفيذ تحت العملية الموثوقة لقارئ PDF، مما يخفي بفعالية النشاط الخبيث عن أدوات المراقبة الأمنية.
بعد الحصول على التنفيذ الأولي، يقوم ملف DLL الخبيث بتنفيذ إجراءات حاسمة لتأسيس الاستمرارية. يستقبل النظام المخترق مترجم بايثون (Python interpreter) وسكربت مشغل (shellcode runner) مدمج مشفر بنظام Base64. يقوم مترجم بايثون بتنفيذ هذا السكربت بالكامل في الذاكرة باستخدام دالة `exec` الخاصة ببايثون، مما يترك وراءه أي آثار على القرص يمكن لأدوات مكافحة الفيروسات التقليدية اكتشافها.
يقوم المهاجمون بعد ذلك بإنشاء مفتاح تسجيل دائم (Registry Run key) يحتوي على كود بايثون مدمج، مما يضمن تنفيذ الكود الخبيث تلقائياً في كل مرة يقوم فيها المستخدم بتسجيل الدخول إلى نظامه. تعمل آلية الاستمرارية هذه على تحويل موظف واحد تم اختراقه إلى ضعف أمني طويل الأمد، مما يمنح المهاجمين وصولاً مستمراً لتصعيد الامتيازات، والحركة الجانبية عبر الشبكة، وسرقة البيانات الحساسة. إن تقارب الهندسة الاجتماعية، والملفات ذات المظهر الشرعي، والاستغلال التقني المتطور يجعل هذا التهديد صعباً بشكل خاص على المؤسسات الدفاع عنه.