تستخدم المجموعة وحدة ShadowPad IIS Listener مخصصة لتحويل الخوادم المخترقة إلى شبكة ترحيل موزعة ومرنة.
يُمكّن هذا الأسلوب المهاجمين من توجيه حركة مرور خبيثة عبر البنية التحتية للضحايا، ما يحوّل المؤسسات المخترقة فعليًا إلى شبكة من عقد التحكم والسيطرة.
تبدأ العملية باستغلال ثغرات أمنية قديمة، وتحديدًا ثغرات إلغاء تسلسل ASP.NET ViewState وثغرات SharePoint مثل ToolShell.
باستغلال مفاتيح الأجهزة المسربة أو نقاط النهاية غير المحدثة، يتمكن المهاجمون من تنفيذ التعليمات البرمجية عن بُعد، مما يؤدي إلى اختراق النظام بالكامل.
وبمجرد تثبيته، يُنشئ البرنامج الخبيث قناة سرية تندمج بسلاسة مع حركة مرور الإنترنت المشروعة، مما يجعل اكتشافه صعبًا للغاية على مسؤولي أمن الشبكات الذين يراقبون البروتوكولات القياسية.
وقد رصد محللو شركة Check Point هذه المجموعة المتطورة من التهديدات، مشيرين إلى أن المجموعة - المعروفة أيضًا باسم Earth Alux أو REF7707 - قد طورت أساليبها بشكل ملحوظ.
لاحظ الباحثون أن شركة Ink Dragon لا تستخدم الضحايا لسرقة البيانات فحسب، بل تعيد توظيفهم بنشاط لدعم العمليات الجارية ضد أهداف أخرى.
يُنشئ هذا بنية تحتية مكتفية ذاتيًا تُخفي المصدر الحقيقي للهجمات مع تعظيم الاستفادة من كل أصل مُخترق.
تمنح هذه البنية المعيارية المهاجمين وصولًا دائمًا وقدرة على التنقل بين الشبكات.
يضمن استخدام إمكانيات IIS الأصلية لاعتراض الاتصالات وإعادة توجيهها بقاء حركة مرور الأوامر مخفية ضمن تدفقات HTTP القياسية.
يُبرز هذا الاستخدام الاستراتيجي للأصول المخترقة فلسفة تشغيلية ناضجة تركز على التخفي طويل الأمد، والمرونة، والتوسع المستمر في نطاق العمليات.
آلية استماع ShadowPad في IIS
جوهر هذه الحملة هو وحدة IIS مخصصة تعمل بطريقة مختلفة عن الأبواب الخلفية التقليدية.
بدلاً من مجرد فتح منفذ، تستخدم واجهة برمجة التطبيقات HttpAddUrl لتسجيل مستمعي عناوين URL ديناميكيين يعترضون طلبات HTTP محددة.
عندما يتطابق طلب مع النمط المُكوّن، تقوم الوحدة بفك تشفير الحمولة لتحديد ما إذا كان أمرًا.
إذا لم تتطابق حركة المرور مع البروتوكول الخاص، تُعيد الوحدة توجيهها إلى خادم IIS الشرعي، الذي يعرض محتوى ويب عاديًا لتجنب إثارة الشكوك.
يسمح هذا الاعتراض الخفي للبرنامج الخبيث بالتعايش مع التطبيقات الشرعية دون التأثير على توافر الخدمة.
تستخدم الوحدة إجراءً محددًا لفك التشفير للتعامل مع الحزم الأولية، مما يضمن معالجة حركة مرور المشغل المصرح بها فقط.
def decrypt_first_packet(buf: bytearray, seed: int, length: int):
count = length - 2
seed_lo = buf[0]
seed_hi = buf[1]
num = (seed_hi << 8) | seed_lo
num &= 0xFFFFFFFF
pos = 2
for _ in range(count):
hi = (num >> 16) & 0xFFFF
num = (hi * 0x7093915D - num * 0x6EA30000 + 0x06B0F0E3) & 0xFFFFFFFF
buf[pos] ^= num & 0xFF
pos += 1
return buf من خلال الاحتفاظ بقوائم منفصلة لخوادم وعُقد العملاء، يقوم البرنامج الخبيث تلقائيًا بربط الاتصالات لنقل البيانات بينها.
يُمكّن هذا المهاجمين من ربط الاتصالات عبر شبكات ضحايا غير مترابطة، مما يُعقّد جهود تحديد مصدر الهجوم ومعالجته.
يدعم منطق نقل البيانات هذا تسجيل دقيق لتصحيح الأخطاء، والذي يوثّق عمليات نقل البيانات ويساعد المحللين على رسم خريطة شاملة للاتصالات.
.png "English"){kind=small}
0 تعليقات