ظهر باب خلفي جديد يُعرف باسم A0Backdoor كجزء من حملة هندسة اجتماعية متقنة تستغل منصتي Microsoft Teams وأداة المساعدة عن بعد Quick Assist من ويندوز. تستهدف هذه الحملة، التي تعمل منذ أغسطس 2025 وحتى فبراير 2026، المحترفين في قطاعي المال والرعاية الصحية.
يُعرف الفريق المهاجم بأسماء مثل Blitz Brigantine و Storm-1811 و STAC5777، ويرتبط بشبكة برمجيات الفدية Black Basta. يتميز الهجوم بتسلسل متطور لخطوات التنفيذ، مما يجعله صعب الاكتشاف.
A0Backdoor: باب خلفي جديد يستغل Microsoft Teams و Quick Assist
تبدأ العملية بإغراق بريد الضحية الإلكتروني بآلاف رسائل البريد العشوائي، مما يخلق حالة من الارتباك والإلحاح. بعد ذلك، يتواصل الفريق المهاجم مع الضحية عبر Microsoft Teams، متظاهراً بأنه من فريق الدعم الفني بالشركة ويقدم المساعدة لحل مشكلة رسائل البريد الإلكتروني.
عندما يثق الضحية، يعتقد أنه يتحدث إلى الدعم الرسمي، ويمنح حق الوصول عن بعد عبر Quick Assist، وهي أداة مدمجة في ويندوز تسمح بالتحكم بجهاز كمبيوتر من جهاز آخر. ومع تأمين هذا الوصول، يقوم المهاجمون بسرعة بزرع أدواتهم وإنشاء موطئ قدم دائم على الجهاز المخترق.
تفاصيل الحملة التقنية
على مدار التحقيقات، تمكن محللو BlueVoyant من تحديد حادثتين منفصلتين مرتبطتين بهذه الحملة. ووجدوا أن البرمجيات الخبيثة التي تم تسليمها للضحايا كانت مُقنّعة لتبدو كتطبيقات Microsoft شرعية، بما في ذلك Microsoft Teams وأداة مساعدة تسمى CrossDeviceService.
تم تسليم الحزم كملفات MSI مثبتة موقعة رقمياً، مما منحها مظهر تحديثات برمجية أصلية. كما لاحظ الباحثون استخدام ما لا يقل عن ثلاث شهادات توقيع رقمي تعود إلى يوليو 2025، مما يشير إلى أن المجموعة كانت تبني مجموعتها المخصصة من الأدوات بصمت منذ أشهر.
تتجاوز عواقب هذا الهجوم نطاق جلسة الوصول عن بعد الأولية. يجمع باب A0Backdoor الخلفي معلومات النظام مثل اسم المستخدم واسم الكمبيوتر لتحديد بصمة الجهاز المصاب قبل التواصل مع مشغليه. يتم هذا الاتصال عبر نفق DNS باستخدام محللات عامة مثل 1.1.1.1، مما يجعل حركة المرور أكثر صعوبة في الاكتشاف.
من بين الضحايا الذين تم تحديدهم في التحقيق، كان هناك محترفون في مؤسسة مالية مقرها كندا ومنظمة صحية عالمية. تم اختيار هذه القطاعات لأهميتها وحساسية بياناتها.
آلية الإصابة: تحميل DLL جنباً إلى جنب وهجوم A0Backdoor
تكشف آلية الإصابة الكامنة وراء A0Backdoor عن مدى تطور النهج التقني الذي تتبعه هذه المجموعة. عندما يقوم المهاجم بتثبيت حزمة MSI الخبيثة على جهاز الضحية، فإنه يقوم بتثبيت تطبيق Microsoft يبدو شرعياً جنباً إلى جنب مع ملف تم التلاعب به يسمى hostfxr.dll.
وهذا الملف، الذي هو عادةً مكون مضيف .NET موثوق به وموقع من Microsoft، تم استبداله بنسخة خبيثة موقعة تحت اسم الشهادة MULTIMEDIOS CORDILLERANOS SRL. عندما يتم تشغيل الملف التنفيذي الشرعي، فإنه يقوم بتحميل ملف DLL المزيف هذا – وهي طريقة تُعرف باسم تحميل DLL جنباً إلى جنب (DLL sideloading) – مما يسمح للبرمجية الخبيثة بالعمل بصمت تحت غطاء عملية موثوق بها.
بمجرد التحميل، يقوم ملف hostfxr.dll الخبيث بفك تشفير البيانات المخفية ضمن شفرته الخاصة وينقل التنفيذ إلى حمولة shellcode. لتعقيد التحليل، تصدر الحمولة استدعاءات CreateThread إضافية يمكن أن تتسبب في تعطل أدوات التصحيح أثناء التشغيل.
يقوم الـ shellcode بالتحقق مما إذا كان يعمل في بيئة افتراضية عن طريق الاستعلام عن جداول firmwares للكشف عن مؤشرات sandbox مثل السلسلة “QEMU”، ويستخدم نظام مفاتيح يعتمد على الوقت حيث يتغير مفتاح فك التشفير كل 55 ساعة تقريباً. تنفيذ البرمجية الخبيثة خارج هذا الإطار الزمني ينتج عنه المفتاح الخاطئ، مما يترك الحمولة مقفلة بشكل دائم.
تتصل حمولة A0Backdoor النهائية بمشغليها عبر استعلامات سجل MX لـ DNS باستخدام نطاقات فرعية عالية الإنتروبيا تمتزج مع حركة مرور الشبكة العادية. بدلاً من تسجيل نطاقات جديدة قد تثير الشبهات، أعاد المشغلون تسجيل أسماء نطاقات قديمة ومنتهية الصلاحية، مما يسمح لهم بتجاوز أدوات الكشف المصممة لاكتشاف النطاقات المسجلة حديثاً أو المولدة خوارزمياً.
يجب على المؤسسات تقييد استخدام Quick Assist عبر بيئات المؤسسات وتنفيذ سياسات تحظر جلسات الوصول عن بعد غير المرغوب فيها. يجب تدريب الموظفين على التحقق دائماً من أي اتصال دعم فني يتم عبر Microsoft Teams قبل منح الوصول أو مشاركة بيانات الاعتماد.
يجب على فرق الأمن مراقبة حزم MSI التي تظهر في مجلدات AppData للمستخدم، وتحديد استعلامات DNS MX الصادرة المتجهة إلى محللات عامة، ومراقبة نشاط نفق DNS داخل الشبكة. يساهم تقييد وصول Microsoft Teams الخارجي من جهات غير معروفة في إزالة إحدى القنوات الرئيسية التي يعتمد عليها هذا الفريق المهاجم في الاتصال الأولي.