كشفت تقارير أمنية حديثة عن قيام جهات تهديدية بإنشاء نسخة مزيفة لموقع شركة “هورونج سيكيوريتي” (Huorong Security) لمكافحة الفيروسات، بهدف خداع المستخدمين وتنزيل برمجية ValleyRAT الخبيثة، وهي حصان طروادة للوصول عن بعد (RAT) مبنية على إطار عمل Winos4.0. تأتي هذه الحملة ضمن أنشطة مجموعة Silver Fox APT، وهي جهة فاعلة صينية معروفة بتوزيع نسخ مصابة من برامج صينية شائعة.
تُعرف “هورونج سيكيوريتي”، والتي يطلق عليها باللغة الصينية (火绒)، كمنتج مجاني لمكافحة الفيروسات مستخدم على نطاق واسع في الصين. وقد قام المهاجمون بتسجيل نطاق يحمل اسم huoronga[.]com، وهو نسخة مطابقة تقريباً للموقع الرسمي huorong.cn، مع إضافة حرف واحد فقط في النهاية. هذه الحيلة، المعروفة بـ “typosquatting”، تستغل الأخطاء الإملائية أو الروابط الوهمية التي قد تصل للمستخدمين.
حملة ValleyRAT الخبيثة تستهدف مستخدمي مكافحة الفيروسات
وقد تمكن محللو الأمن السيبراني من تتبع سلسلة الإصابة بالكامل. فبمجرد نقر الزائر على زر التنزيل، يتم توجيه الطلب بصمت عبر نطاق وسيط قبل تحميل الملف الخبيث من مخزن Cloudflare R2. الملف، الذي يحمل اسم BR火绒445[.]zip، يستغل الاسم الصيني لبرنامج Huerong للحفاظ على التضليل حتى لحظة التنفيذ.
لا تعتمد هذه الهجمة على استغلال ثغرات يوم الصفر، بل تعتمد بشكل كلي على إقناع المستخدمين بجدية الموقع، وواقعية المثبت، وافتراض أن العديد من المستخدمين ينقرون ببساطة على أول نتيجة بحث تظهر لهم. وبما أن الإغراء يتعلق ببرنامج أمان، فإن الخداع يصبح أكثر فعالية، حيث تطال الهجمة الأشخاص الذين يسعون بالفعل لحماية أنفسهم.
قدرات ValleyRAT الخبيثة
بعد تثبيت ValleyRAT، يصبح المهاجمون قادرين على مراقبة الضحايا، سرقة البيانات الحساسة، والتحكم بالنظام المصاب عن بعد. يمكن للبرنامج الخبيث تسجيل ضغطات المفاتيح، قراءة ملفات ملفات تعريف الارتباط في المتصفح، الاستعلام عن معلومات النظام، وحقن التعليمات البرمجية في عمليات أخرى للتنفيذ بشكل غير ظاهر.
التصميم المعياري للبرمجية يسمح بتنزيل قدرات إضافية عند الطلب، مما يجعل النطاق الكامل للإصابة صعب التحديد. ومن جهة أخرى، يعتبر اكتشاف هذه البرمجيات الخبيثة تحدياً مستمراً لخبراء الأمن حول العالم.
تقنيات التخفي والمثابرة
بعد الحصول على الوصول، تقوم ValleyRAT بتوجيه Windows Defender عبر PowerShell لتجاهل مجلد المثابرة الخاص بها (AppDataRoamingtrvePath) وعمليتها الرئيسية (WavesSvc64.exe). بعد ذلك، تقوم بإنشاء مهمة مجدولة باسم “Batteries” في المسار C:WindowsTasksBatteries.job، والتي تعيد تشغيل البرمجية الخبيثة مع كل عملية تشغيل للنظام وتتصل بخادم القيادة والتحكم (C2) على العنوان 161.248.87[.]250 عبر منفذ TCP 443.
للتمويه، تقوم البرمجية الخبيثة بحذف وإعادة كتابة ملفاتها الأساسية لتجنب الكشف بناءً على التواقيع. كما تتحقق من وجود مصححات الأخطاء وبيئات الأجهزة الافتراضية قبل النشر الكامل. يتم تخزين بيانات التكوين، بما في ذلك نطاق C2 المشفر yandibaiji0203[.]com، في السجل تحت المسار HKCUSOFTWAREIpDates_info.
ينصح الخبراء المنظمات بحظر الاتصالات الصادرة إلى العنوان 161.248.87[.]250، ومراجعة استثناءات Defender بحثاً عن أي تغييرات غير مصرح بها، والبحث في نقاط النهاية عن المهمة المجدولة “Batteries” والمجلد %APPDATA%trvePath كعلامات للإصابة.
مؤشرات الاختراق (Indicators of Compromise – IOCs)
النطاقات المزيفة: huoronga[.]com, huorongcn[.]com, huorongh[.]com, huorongpc[.]com, huorongs[.]com
النطاق الوسيط: hndqiuebgibuiwqdhr[.]cyou
مستضيف الحمولة: pub-b7ce0512b9744e2db68f993e355a03f9.r2[.]dev
عنوان IP الخاص بخادم القيادة والتحكم (C2): 161.248.87[.]250 (TCP 443)
نطاق C2 المشفر: yandibaiji0203[.]com
ملفات التجزئة (SHA-256): 72889737c11c36e3ecd77bf6023ec6f2e31aecbc441d0bdf312c5762d073b1f4, db8cbf938da72be4d1a774836b2b5eb107c6b54defe0ae631ddc43de0bda8a7e, d0ac4eb544bc848c6eed4ef4617b13f9ef259054fe9e35d9df02267d5a1c26b2, 07aaaa2d3f2e52849906ec0073b61e451e0025ef2523dafbd6ae85ddfa587b4d, 66e324ea04c4abbad6db4f638b07e2e560613e481ff588e0148e33e23a5052a9, 47df12b0b01ddca9eb116127bf84f63eb31e80cec33e4e6042dff1447de8f45f
المهمة المجدولة: C:WindowsTasksBatteries.job
مجلد المثابرة: %APPDATA%trvePath
مفتاح السجل: HKCUSOFTWAREIpDates_info, HKCUConsole�451b464b7a6c2ced348c1866b59c362e
ملف السجل: C:ProgramDataDisplaySessionContainers.log