هجوم سيبراني يستهدف قطاع الدفاع عبر ثغرة “بايثون” ببرمجية “MSBuild”

كشفت تقارير حديثة عن شن مجموعة تهديدات سيبرانية تُعرف باسم “Dropping Elephant”، والمتحالفة مع الهند، لهجوم إلكتروني معقد ومتطور استهدف قطاع الدفاع في باكستان. يعتمد الهجوم على استخدام حصان طروادة للوصول عن بعد (RAT) يعتمد على لغة بايثون، يتم إخفاؤه ضمن آلية إسقاط تعتمد على MSBuild.

تم رصد هذه الحملة المتقدمة، التي وثقها الباحث الأمني “إيدان تراب”، وهي تستغل رسائل تصيد احتيالي زائفة تتعلق بالدفاع بهدف اختراق وحدات الأبحاث والتطوير العسكرية ومنشآت المشتريات المرتبطة بالمؤسسة الوطنية للإذاعة والاتصالات الباكستانية.

هجوم Dropping Elephant وتفاصيل آلية العمل

يبدأ الهجوم في الظاهر بمحتوى غير ضار، حيث تتضمن رسالة تصيد احتيالي أرشيف ZIP خبيث. عند تنزيله، يحتوي الأرشيف على ملف مشروع MSBuild يعمل بمثابة أول مكون إسقاط، بالإضافة إلى ملف PDF وهمي مصمم ليبدو شرعياً.

عند تشغيل الملف، يبدأ مكون الإسقاط في تنزيل مكونات متعددة إلى دليل مهام ويندوز (Windows Tasks)، مما يضمن استمرارية التواجد عبر المهام المجدولة التي تحمل أسماء ظاهرياً شرعية مثل “KeyboardDrivers” و”MsEdgeDrivers”.

لاحظ الباحث الأمني “إيدان تراب” أن مجموعة Dropping Elephant استخدمت تقنيات تمويه متطورة طوال سلسلة الإصابة، بما في ذلك تشفير UTF-reverse لإعادة بناء السلاسل النصية، ودقة استدعاءات واجهات برمجة التطبيقات (API) لتجنب الكشف من قبل أدوات الأمان.

يعكس نهج المجموعة درجة عالية من النضج التقني في استغلال الأدوات الشرعية لنظام ويندوز كجزء من بنيتها التحتية للهجوم.

آلية الاستمرارية الخفية باستخدام بايثون

يتضمن جوهر العملية نشر بيئة تشغيل بايثون مدمجة بالكامل في دليل AppData. هناك، يحتوي ملف DLL وهمي باسم “python2_pycache_.dll” في الواقع على بايت كود بايثون مُجمَّع، وليس رمز مكتبة شرعي.

يتم تنفيذ الحمولة عبر pythonw.exe، والذي يعمل بدون عرض نافذة، مما يوفر قدرة عالية على التخفي ضد المدافعين المحتملين.

يشمل حصان طروادة للوصول عن بعد (RAT) الخاص ببايثون وحدات متعددة، مثل “client” و”commands” و”remote_module” و”base.py”، مما يتيح التحكم الشامل بالنظام وجمع المعلومات من الأجهزة المخترقة.

يحافظ البرمجيات الخبيثة على الاتصال بأوامر التحكم والسيطرة (C2) عبر نطاقات تشمل nexnxky.info، وupxvion.info، وsoptr.info.

يحتوي الرمز المكتشف على أسماء متغيرات مموهة بشدة وهياكل أوامر مشفرة بـ base64، مما يجعل التحليل اليدوي صعباً بشكل خاص.

استخدمت المجموعة مسارات ملفات محددة وإدخالات لجدولة المهام التي تحاكي عمليات ويندوز الشرعية، مما يسمح لحصان طروادة بالاندماج بسلاسة في نشاط النظام المنتظم مع البقاء خامداً حتى تلقي الأوامر من البنية التحتية التي يسيطر عليها المهاجم.

تؤكد حملة **Dropping Elephant** على التهديد المستمر من قبل مجموعات التهديدات المتقدمة المستمرة (APT) التي تستهدف البنية التحتية الحيوية للدفاع في جنوب آسيا.

يجب على المؤسسات تطبيق مراقبة معززة لتنفيذات MSBuild المشبوهة، ولعمليات نشر بيئات تشغيل بايثون غير العادية في مجلدات النظام، والحفاظ على ضوابط صارمة على آليات الدفاع ضد التصيد الاحتيالي.