DJob يهاجم الصناعات التحويلية باستخدام رسائل WhatsApp Web المتعلقة بالوظائف

 

 

استهدف هجوم إلكتروني متطور شركة آسيوية تابعة لشركة تصنيع أوروبية كبيرة عبر مخطط عروض عمل خادعة.

تُظهر حملة الاختراق، المعروفة باسم "عملية دريم جوب"، كيف يواصل المهاجمون تطوير أساليب الهندسة الاجتماعية لاختراق أهداف عالية القيمة في قطاع التصنيع. 

 استهدف هجوم إلكتروني متطور فرعًا آسيويًا تابعًا لشركة تصنيع أوروبية كبيرة عبر مخطط عروض عمل مضللة.

تُظهر حملة الاختراق، المعروفة باسم DJob، كيف يواصل المهاجمون تطوير أساليب الهندسة الاجتماعية لاختراق أهداف عالية القيمة في قطاع التصنيع.

 

استغل هذا الهجوم تحديدًا رسائل واتساب ويب لإرسال حمولات خبيثة مُقنّعة على أنها فرص عمل مشروعة.

بدأ الهجوم عندما تلقى مهندس مشروع رسالة مُستهدفة عبر واتساب ويب تحتوي على ما يبدو أنه مستند متعلق بالوظيفة.

شجعت الرسالة المُستقبِل على تنزيل واستخراج ملف ZIP، والذي احتوى على ثلاثة مكونات: ملف PDF خبيث، وعارض مستندات مفتوح o شرعي يُسمى SumatraPDF.exe، وملف DLL خبيث يُسمى libmupdf.dll.

أدى هذا المزيج إلى استغلال تطبيق موثوق به من خلال التحميل الجانبي لملفات DLL، حيث قام الملف التنفيذي الشرعي بتحميل المكتبة الخبيثة دون علمه.

 

وكشف تحليلهم أن الاختراق استغل متغيرات البرامج الضارة المتطورة، وخاصة BURNBOOK وMISTPEN، إلى جانب البنية التحتية المخترقة لـ SharePoint و WordPress لعمليات القيادة والتحكم.

 

واصل الجناة الوصول المستمر إلى النظام لمدة ست ساعات متواصلة على الأقل، وقاموا بأنشطة عملية على لوحة المفاتيح طوال فترة الاختراق. 

 

 عندما فتح الضحية مستند PDF، قام ملف SumatraPDF القابل للتنفيذ بتحميل ملف libmupdf.dll الخبيث، والذي أكده الباحثون كنسخة حديثة من أداة تحميل BURNBOOK.

مكّن هذا الباب الخلفي المهاجمين من إنشاء وصول أولي وبدء أنشطة استطلاع داخل الشبكة.

 

 آليات متقدمة للاستمرارية والحركة الجانبية

بعد نجاح عملية التسلل، استخدم المهاجمون أساليب متعددة لتوسيع نطاق انتشارهم عبر شبكة التصنيع.

 

 

أجرى المهاجمون استعلامات LDAP مكثفة على Active Directory لإحصاء المستخدمين وأجهزة الكمبيوتر داخل النطاق، وجمعوا معلومات استخباراتية لعمليات النقل الجانبي.

ثم اخترقوا حسابات النسخ الاحتياطية وحسابات الإدارة باستخدام تقنيات تمرير التجزئة، التي أتاحت المصادقة دون الحاجة إلى كلمات مرور نصية عادية. 

 

تضمنت هذه الطريقة استخراج تجزئات كلمات مرور NTLM وإعادة استخدامها لمصادقة الشبكة. ثم نشر المهاجمون حمولة إضافية تُسمى TSVIPsrv.dll، والتي تم تحديدها على أنها نسخة من الباب الخلفي لـ MISTPEN.

 

قام هذا البرنامج الخبيث بفك تشفير ملف wordpad.dll.mui وتنفيذه مباشرة في الذاكرة، مما أدى إلى إنشاء اتصالات بخوادم مخترقة من أجل اتصالات القيادة والتحكم.

 

وتضمنت المرحلة النهائية نشر Release_PvPlugin_x64.dll، الذي عمل كوحدة لسرقة المعلومات مصممة لاستخراج البيانات الحساسة من الأنظمة المصابة.