عوامل برمجية الفدية HardBit 4.0 تهاجم خدمات RDP و SMB المفتوحة للوصول المستمر
تواصل برمجيات الفدية HardBit تشكيل تهديد خطير للمنظمات في جميع أنحاء العالم، حيث ظهر أحدث إصدار، HardBit 4.0، كمتغير مطور لسلالة نشطة منذ عام 2022، ويأتي بميزات أكثر تقدمًا وتقنيات محسنة لتجنب الكشف.
يمثل هذا الإصدار الأحدث خطوة كبيرة إلى الأمام في قدرة برمجية الفدية على التهرب من التدابير الأمنية مع الحفاظ على التواجد في الأنظمة المصابة. وعلى عكس العديد من مجموعات برمجيات الفدية المنافسة، فإن مشغلي HardBit لا يحتفظون حاليًا بموقع عام لتسريب البيانات لتكتيكات الابتزاز المزدوج، بل يركزون فقط على طلبات الفدية القائمة على التشفير.
آلية هجوم HardBit 4.0
تبدأ سلسلة الهجوم باستهداف الجهات الفاعلة للتهديد لنقاط دخول ضعيفة في البنية التحتية للشبكة. حدد محللو Picus Security أن عوامل HardBit 4.0 يقيمون الوصول الأولي من خلال هجمات القوة الغاشمة على خدمات بروتوكول سطح المكتب البعيد (RDP) وكتلة رسائل الخادم (SMB) المفتوحة.
بمجرد حصولهم على الدخول إلى نظام ما، يركز المهاجمون بشكل فوري على حصاد بيانات الاعتماد للانتقال جانبيًا عبر الشبكة وتوسيع نطاق وجودهم.
استراتيجية التوزيع متعددة المراحل
لاحظ باحثو Picus Security أن البرمجية الخبيثة تستخدم استراتيجية توزيع متعددة المراحل تجعل الكشف عنها صعبًا بشكل خاص. تعتمد طريقة التوزيع على Neshta، وهو فيروس يصيب الملفات موجود منذ عام 2003، والذي يعمل الآن كآلية تسقط مصممة خصيصًا لتسليم وتنفيذ HardBit 4.0.
يتجاوز هذا النهج الكشف التقليدي لمضادات الفيروسات لأن Neshta يعدل الملفات التنفيذية ويؤسس للوصول المستمر من خلال معالجة السجل. يعمل مسقط Neshta من خلال عملية من أربع خطوات تظهر تفوقًا تقنيًا.
آلية العمل والتصعيد
عند التشغيل، يقرأ مسقط Neshta أولاً ملفه الثنائي الخاص ويستخرج حمولة HardBit من إزاحات ذاكرة محددة. يقوم المسقط بعد ذلك بفك تشفير رأس وجسم HardBit، ويكتب البرنامج الثنائي لبرمجية الفدية المعاد بناؤه في دليل النظام المؤقت، وأخيرًا يقوم بتشغيل البرمجية الخبيثة من خلال وظائف التنفيذ الشرعية لنظام Windows.
لضمان استمرار البرمجية الخبيثة عبر عمليات إعادة التشغيل، يقوم Neshta بنسخ نفسه إلى دليل جذر النظام كملف مخفي ويعدل مفاتيح السجل بحيث كلما حاول المستخدم تشغيل أي ملف تنفيذي، يتم تشغيل البرمجية الخبيثة تلقائيًا أولاً.
تكتيكات تهرب دفاعي متقدمة
بالإضافة إلى الوصول المستمر، يطبق HardBit 4.0 تكتيكات تهرب دفاعي شرسة تستهدف البرامج الأمنية مباشرة. تقوم البرمجية الخبيثة بتعديل إدخالات متعددة في سجل Windows لتعطيل ميزات Windows Defender الهامة بما في ذلك المراقبة في الوقت الفعلي، والحماية من العبث، وقدرات مكافحة برامج التجسس.
علاوة على ذلك، فإن البرنامج الثنائي مشفر باستخدام نسخة معدلة من واقي ConfuserEx، مما يجعل الهندسة العكسية والتحليل صعبين على المتخصصين في مجال الأمن. تتميز HardBit 4.0 بميزة فريدة تتضمن آلية حماية عبارة المرور التي تتطلب من المهاجمين تقديم مفاتيح ترخيص محددة في وقت التشغيل، مما يمنع التفجير العرضي أو الآلي في بيئات العزل الذي يمكن أن يكشف سلوك البرمجية الخبيثة للباحثين الأمنيين.
تعزيز الدفاعات
يمكن للمؤسسات تعزيز دفاعاتها ضد HardBit 4.0 من خلال مراقبة نشاط RDP و SMB المشبوه، وتنفيذ ممارسات إدارة بيانات اعتماد قوية، والحفاظ على أنظمة نسخ احتياطي محدثة معزولة عن الوصول إلى الشبكة لضمان بقاء خيارات الاسترداد غير متاحة للمهاجمين.