كشفت حملة برمجيات خبيثة متطورة عن استهدافها القطاعين المالي والقانوني في الاتحاد الروسي، حيث تقوم بتوصيل أداة الوصول عن بعد Cobalt Strike المعروفة للمؤسسات التي تتعامل مع معاملات تجارية حساسة.
لقد حدد باحثو الأمن أكثر من عشرين ملفًا أوليًا للإصابة تشارك في سلسلة الهجوم متعددة المراحل هذه، مما يكشف عن عملية جيدة التنظيم مصممة للبقاء مخفية عن أنظمة الأمان التقليدية.
تستخدم الحملة، التي تندرج تحت مسمى Operation FrostBeacon، رسائل بريد إلكتروني لتصيد احتيالي خادعة ومرفقات يتم تسليحها لاختراق الأهداف.
يعمد الجهات التهديدية إلى صياغة رسائل تدور حول مدفوعات العقود، والنزاعات القانونية، وتحصيل الديون لإغراء المستخدمين بفتح ملفات خبيثة.
تستغل هذه الرسائل المخاوف التجارية الشائعة في قطاعات الخدمات اللوجستية والتمويل وسلسلة التوريد، حيث تعتمد المؤسسات بشكل كبير على العقود ومعالجة الدفع.
تبدو رسائل البريد الإلكتروني شرعية، وغالبًا ما تكون مكتوبة باللغة الروسية وتشير إلى مصطلحات الأعمال المعتادة التي تبني الثقة مع الضحايا.
آلية العدوى متعددة المراحل والتهرب من الكشف
حدد محللو أمن Seqrite عنقودي إصابة متميزين يعملان بالتوازي، يتبع كل منهما مسارًا منفصلاً لتوصيل نفس البرمجيات الخبيثة.
يلتقي كلا المسارين في نهاية المطاف لنشر Cobalt Strike، وهو إطار قوي يستخدمه المهاجمون للتحكم عن بعد وتنفيذ الأوامر على الأنظمة المخترقة.
يعمل عنقود الإصابة الأول من خلال تسليم الأرشيف، والذي يحتوي على ملف اختصار خبيث مقنع كملف PDF. عندما يفتح المستخدمون هذا الملف، فإنه يشغل أوامر PowerShell مخفية تنشئ اتصالاً بخادم بعيد.
يستخدم العنقود الثاني مستندات Word تستغل ثغرات قديمة، وتحديداً CVE-2017-0199 للتسليم و CVE-2017-11882 في محرر المعادلات للتنفيذ.
من المثير للاهلة، أن كلا العنقودين يعيدان التوجيه إلى ملف تطبيق HTML (HTA) يعمل كمكون تنفيذي أساسي.
تكمن البراعة الحقيقية في توصيل الحمولة. بمجرد تنفيذ ملف HTA، فإنه يعيد بناء كتل متعددة مشفرة بنظام Base64 في نص PowerShell مضغوط بنظام Gzip.
يقوم هذا النص بتطبيق ثلاث طبقات من التعتيم المصممة لمنع الكشف. تستخدم الطبقة الأولى ضغط Gzip وتشفير Base64.
تحتوي المرحلة الثانية على وظائف مخصصة تحل واجهات برمجة تطبيقات Windows ديناميكيًا دون كتابة أي ملفات على القرص.
تستخدم الطبقة النهائية كتلة مشفرة بنظام Base64 ومُشفرة بنظام XOR بالمفتاح 35، والتي تفك التشفير إلى shellcode خام يتم تنفيذه في الذاكرة.
تعمل shellcode المفككة كـ Cobalt Strike Beacon loader، مما ينشئ اتصالاً بخوادم القيادة والتحكم التي تتنكر في هيئة تنزيلات ملفات jQuery عادية.
تستخدم البرمجيات الخبيثة تقنيات متطورة، بما في ذلك NtMapViewOfSection لحقن العمليات وتكوينات Cobalt Strike المخصصة التي تزيد من تعتيم وجودها.
يكشف تحليل البنية التحتية عن نطاقات روسية مسجلة من خلال مزودين محليين، مع إخفاء حركة مرور القيادة والتحكم ضمن طلبات الويب التي تبدو شرعية.
يوضح هذا المزيج من التقنيات مجموعة تهديد ذات دوافع مالية تمتلك معرفة تقنية عميقة بأساليب التهرب.