اكتشفت في مجال الأمن السيبراني عن حملة بريد إلكتروني متطورة تستخدم برنامجًا خبيثًا لتوزيع برامج التجسس التي تتيح الوصول عن بُعد وبرامج سرقة المعلومات.
تستهدف هذه العملية بشكل أساسي مؤسسات صناعية وحكومية في إيطاليا وفنلندا والمملكة العربية السعودية، مستخدمةً أساليب شديدة التخفي.
استراتيجية هجوم متعددة الأساليب
تستخدم الحملة أساليب اختراق متعددة لاستهداف أنظمة ويندوز. يقوم المهاجمون بتوزيع مستندات مايكروسوفت أوفيس مُعدّلة تستغل ثغرة CVE-2017-11882، وهي ثغرة خطيرة في الذاكرة ضمن مُحرر المعادلات.
بالإضافة إلى ذلك، يستغل المهاجمون ملفات SVG خبيثة وملفات ZIP مضغوطة تحتوي على اختصارات LNK، وتعتمد جميعها على بنية تحميل موحدة.
تبدأ الهجمات برسائل بريد إلكتروني تصيدية مُستهدفة، مُنتحلةً صفة مراسلات طلبات شراء شرعية من شركاء تجاريين.
تحتوي هذه الرسائل المُضللة على ملفات RAR مُخبأة بداخلها برمجيات خبيثة من نوع JavaScript، مُصممة لتجاوز إجراءات الفحص الأمني الأولية.
يعمل البرنامج الخبيث عبر مسار تنفيذ معقد من أربع مراحل مصمم لتجنب الكشف عنه.
يحتوي ملف جافا سكريبت الأولي على شيفرة مشوشة للغاية تعيد بناء سلاسل نصية خبيثة ديناميكيًا باستخدام عمليات التقسيم والدمج. عند التنفيذ، يُنشئ عملية PShمخفية باستخدام كائنات إدارة أجهزة ويندوز.
في المرحلة الثانية، يتم استرجاع صورة PNG خبيثة من خدمات استضافة شرعية مثل Ahe.
تحتوي هذه الصورة على تجميعات .NET مُشفّرة بتقنية base64 ومُضمّنة في نهاية الملف. يقوم برنامج PSh النصي باستخراج هذه الحمولة الخبيثة باستخدام تعبير نمطي، ثم يُحمّلها مباشرةً في الذاكرة دون الكتابة إلى القرص.
في المرحلة الثالثة، يستخدم المهاجمون مكتبة TkSh الشرعية مفتوحة من GHb كسلاح.
عن طريق إضافة وظائف خبيثة إلى الشفرة المصدرية وإعادة تجميعها، يُنشئون برنامجًا مُخترقًا يُحافظ على مظهره الأصلي مع تضمين قدرات خبيثة.
تستخدم المرحلة الأخيرة تقنيات حقن العمليات، حيث تُنشئ عملية RAm.exe مُعلقة وتُحقن الحمولة المُفككة في ذاكرتها.
يُمكّن هذا التلاعب بالعمليات البرامج الخبيثة من التخفي في هيئة أدوات ويندوز شرعية أثناء تنفيذ التعليمات البرمجية الخبيثة.
آلية توزيع الحمولة وقدراتها
تُقدّم هذه الحملة أدواتٍ متنوعة لسرقة المعلومات وبرامج تحكم عن بُعد (RATs)، تشمل PLog aler وKz Sler وDC Rat وAsync Rat وRos.
يتم فك تشفير حمولة Pg Ster باستخدام تشفير DES في وضع CBC قبل استخدامها لاستخراج بيانات حساسة، بما في ذلك بيانات اعتماد المتصفح، ومعلومات محفظة العملات الرقمية، وتفاصيل النظام الكاملة.
(CRIL) تقنيةً جديدةً لتجاوز نظام التحكم في حساب المستخدم (UAC)، حيث تراقب البرمجيات الخبيثة عمليات إنشاء عمليات النظام، وتُفعّل بشكلٍ انتهازيٍّ مطالبات UAC أثناء عمليات التشغيل المشروعة، ما يُضلّل المستخدمين لمنحهم صلاحياتٍ مُوسّعة.
ويكشف تحليلٌ شاملٌ للحملات عن منهجيةٍ موحدةٍ لدى جهات التهديد المتعددة، ما يُشير إلى أن برنامج التحميل يعمل كإطار عملٍ مشتركٍ للتوزيع.
Se وNn Systems وZsr وجودَ اصطلاحات تسميةٍ متطابقةٍ وأنماطَ تنفيذٍ متشابهةٍ في مختلف عائلات البرامج الضارة، مما يؤكد انتشارَ هذه البنية التحتية على نطاقٍ واسع.
لذا، ينبغي على المؤسسات تطبيقَ أنظمةِ تصفيةٍ مُحسّنةٍ للبريد الإلكتروني، وتعطيلَ مكوناتِ مُحرِّرِ المعادلاتِ القديمةِ في Office، وفحصَ المرفقاتِ الصوريةِ بدقةٍ، ومراقبةَ أيِّ نشاطٍ مشبوهٍ في PSh للتخفيف من آثارِ هذه التهديداتِ المُعقَّدة.
.png "English"){kind=small}
0 تعليقات