كشفت تقارير أمنية حديثة عن حملة تجسس إلكتروني متطورة تعرف باسم “عملية بوسيدون”، تستغل البنية التحتية الإعلانية لشركة جوجل لتوزيع برمجيات خبيثة من نوع EndRAT. تهدف هذه الحملة إلى تجاوز تدابير الأمن السيبراني التقليدية.
تستفيد الهجمات من نطاقات تتبع نقرات الإعلانات الشرعية لإخفاء عناوين URL الضارة، مما يجعلها تبدو كحركة إعلانية موثوقة. هذه التقنية تساعد على تجاوز فلاتر البريد الإلكتروني الأمنية وتقليل شكوك المستخدمين في مرحلة العدوى الأولية.
يقف خلف هذه الحملة مجموعة “كوني” (Konni APT)، وهي مجموعة تهديدات مستمرة متقدمة تستهدف المنظمات في كوريا الجنوبية عبر تكتيكات هندسة اجتماعية معقدة.
يتقمص المهاجمون شخصيات منظمات حقوق الإنسان والمؤسسات المالية الكورية الشمالية لخداع الضحايا وتحميل ملفات خبيثة. غالباً ما يتم إخفاء هذه الملفات لتشبه مستندات مالية أو تأكيدات معاملات أو إشعارات رسمية، مما يجعلها تندمج بسلاسة في الاتصالات التجارية العادية.
عمليات التجسس الإلكتروني وتوزيع البرمجيات الخبيثة
قام محللو شركة Genians بتحديد الحملة من خلال تحليل جنائي مفصل للنصوص البرمجية الخبيثة التي تحتوي على آثار داخلية.
اكتشف الباحثون أن المهاجمين يستخدمون مواقع ووردبريس مخترقة كنقاط لتوزيع البرمجيات الخبيثة وبنية تحتية للقيادة والتحكم. هذا النهج يسمح بتغيير سريع للبنية التحتية للهجوم، مما يقوض فعالية سياسات حظر عناوين URL والنطاقات التقليدية.
تبدأ سلسلة تنفيذ البرمجيات الخبيثة عندما ينقر الضحايا على عناوين URL الإعلانية المخفية المضمنة في رسائل البريد الإلكتروني الخبيثة، والتي تعيد توجيههم عبر نطاق google.com.doubleclick.net إلى خوادم مخترقة تستضيف أرشيفات ZIP ضارة.
داخل هذه الأرشيفات، توجد ملفات اختصار LNK التي تؤدي إلى تشغيل نصوص AutoIt البرمجية التي تتنكر كملفات PDF. تقوم هذه النصوص البرمجية بتحميل برامج الوصول عن بعد (RATs) من نوع EndRAT مباشرة في الذاكرة دون الحاجة إلى تفاعل إضافي من المستخدم.
تتضمن البرمجيات الخبيثة سلاسل تعريف فريدة مثل “endServer9688” و “endClient9688” لاتصالات القيادة والتحكم. كشفت مسارات البناء الداخلية عن الاسم الرمزي للعملية “Poseidon”، مما يشير إلى إدارة منظمة كوحدة تشغيلية متميزة ضمن إطار عمل “كوني” APT.
أساليب التنفيذ والتخفي للهجوم
تستخدم الهجمات طبقات متعددة من التخفي عن الكشف بدءاً من مرحلة تسليم البريد الإلكتروني. تحتوي رسائل البريد الإلكتروني التصيدية على كميات كبيرة من النصوص الإنجليزية غير الهادفة المضمنة في مناطق HTML غير مرئية باستخدام السمة `display:none`.
تعمل تقنية حشو المحتوى هذه على إرباك أنظمة الكشف عن رسائل التصيد الاحتيالي القائمة على الذكاء الاصطناعي وفلاتر البريد العشوائي عن طريق إطالة محتوى البريد بشكل مصطنع وتعطيل منطق تحليل الكلمات الرئيسية.
تتضمن رسائل البريد الإلكتروني أيضاً مستشعرات ويب شفافة بحجم 1×1 بكسل ترسل طلبات HTTP إلى خوادم يتحكم بها المهاجمون عند فتحها، مما يسمح لممثلي التهديدات بتتبع تفاعل المستلمين وتأكيد عناوين البريد الإلكتروني النشطة.
تستغل عناوين URL لتوزيع البرمجيات الخبيثة بنية منصات الإعلانات الشرعية عن طريق تضمين عناوين القيادة والتحكم ضمن معلمات URL. هذا يجعل عملية إعادة التوجيه تبدو كحركة مرور إعلانية عادية، مما يقلل بشكل كبير من احتمالية الكشف.
تقوم ملفات LNK نفسها بإخفاء ملحقات الملفات والأيقونات لتبدو كمستندات شرعية، مما يكمل سلسلة هجمات متطورة مصممة لتجنب كل من الأطر الأمنية القائمة على التوقيع والسلوك.