في ديسمبر/كانون الأول 2025، ظهرت عملية برمجية خبيثة تُعرف باسم "سيكاري" (Sicarii)، وهي عملية غير معروفة سابقًا تُقدّم خدماتها عبر منصات الإنترنت السرية، مُعرّفةً نفسها بأنها جماعة إسرائيلية أو يهودية.
تتميز هذه العملية عن برامج الفدية التقليدية ذات الدوافع المالية باستخدامها الصريح للغة العبرية، والرموز الإسرائيلية، والإشارات إلى جماعات يهودية تاريخية في هويتها البصرية.
على عكس عمليات برامج الفدية المعروفة التي تحافظ على سرية عملياتها، يدمج برنامج Sicarii علنًا رمز الهاجاناه إلى جانب النصوص العبرية في هويته البصرية، مما يخلق حضورًا غير مألوف في عالم الجريمة الإلكترونية.
يزعم الفريق أنه يركز على استهداف المؤسسات في الدول العربية والإسلامية، مع تجنب الأنظمة الإسرائيلية بشكل واضح.
يستخدم البرنامج الخبيث آلية تحديد الموقع الجغرافي التي تمنع تنفيذه على الأنظمة المصنفة على أنها إسرائيلية، وذلك من خلال فحص المناطق الزمنية، وتخطيطات لوحات المفاتيح، وعناوين IP لمحولات الشبكة لتحديد الأهداف المحلية.
إن هذا النهج الانتقائي في الاستهداف، بالإضافة إلى الرسائل الأيديولوجية، يميز مجموعة Sicarii عن مجموعات برامج الفدية التقليدية التي تعمل انطلاقاً من أوروبا الشرقية أو روسيا.
كشف عن بنية تحتية تقنية متطورة تدعم عملية Sicarii.
يبدأ برنامج الفدية الخبيث تنفيذه عبر مرحلة مضادة للمحاكاة الافتراضية، حيث يكشف بيئات الحماية المعزولة ويعرض رسالة خطأ مضللة لتجنب التحليل.
ثم يقوم بنسخ نفسه إلى الدليل المؤقت باسم svchost_{random}.exe ويختبر الاتصال بالإنترنت عن طريق الاتصال بـ google.com/generate_204 عدة مرات لضمان الجاهزية التشغيلية.
التحرك الجانبي عبر استطلاع الشبكة
بعد تهيئة بيئة التنفيذ، يقوم البرنامج الخبيث باستطلاع شبكة مكثف لرسم خريطة لبيئة الضحية.
يقوم البرنامج الخبيث بحصر إعدادات الشبكة المحلية عبر طلبات ARP، ويبحث عن خدمات RDP المكشوفة في الأنظمة المكتشفة.
والأهم من ذلك، أنه يسعى بنشاط لاستغلال أجهزة Fortinet باستخدام ثغرة CVE-2025-64446، وهي ثغرة أمنية تتيح مسارات تنقل جانبية داخل الشبكات المخترقة.
تدعم مرحلة الاستطلاع هذه أهداف اختراق الشبكة وجمع البيانات، مما يجعلها خطيرة للغاية على المؤسسات ذات البنية التحتية الأمنية المختلطة.
يجمع البرنامج الخبيث بيانات واسعة النطاق، تشمل بيانات اعتماد النظام، ومعلومات المتصفح، وبيانات التطبيقات من منصات مثل Discord وSlack وTelegram ومحافظ العملات الرقمية.
تُجمع جميع البيانات المُستخرجة في ملف مضغوط (ZIP) باسم collected_data.zip، ثم تُستخرج عبر موقع file.io. بعد استخراج البيانات، يُرسي برنامج الفدية وجوده في النظام عبر آليات متعددة، تشمل تعديلات على سجل النظام، وإنشاء خدمات، وحسابات مستخدمين جديدة ببيانات اعتماد مُضمّنة في البرنامج.
تستخدم مرحلة التشفير خوارزمية AES-GCM بمفاتيح 256 بت، مع إضافة اللاحقة .sicarii إلى الملفات المُشفّرة.
تنتهي العملية بمكوّن تخريبي يقوم بتشغيل برنامج نصي عند بدء التشغيل، مما يؤدي إلى تلف ملفات برنامج الإقلاع وإجبار النظام على الإغلاق الفوري.
ينبغي على المؤسسات إعطاء الأولوية لتحديث أجهزة Fortinet وتطبيق تجزئة الشبكة لاحتواء هذا التهديد الناشئ.
.png "English"){kind=small}
0 تعليقات