كشف باحثون في الأمن السيبراني عن بوابة خلفية جديدة مكتوبة بلغة Rust تُعرف باسم ChaosBot، تتيح للمهاجمين إجراء استطلاع للنظام وتنفيذ أوامر عشوائية على الأجهزة المخترَقة. ذكر تقرير تقني لشركة eSentire أن المهاجمين استغلّوا بيانات اعتماد مخترَقة مرتبطة بكل من بوابة VPN لشركة سيسكو وحساب Active Directory مفرط الصلاحيات باسم “serviceaccount” لتنفيذ أوامر عن بعد عبر WMI ونشر ChaosBot داخل شبكة عميل يعمل بالخدمات المالية، حيث رُصِدت العائلة لأول مرة في أواخر سبتمبر 2025.
آليات الانتشار والتوزيع
لوحظت طريقتان رئيسيتان لتوزيع ChaosBot. أولاهما استغلال بيانات اعتماد مخترَقة ونقاط ضعف إدارية داخل بيئة الشبكة لنشر الحمولة عبر أوامر WMI عن بعد. أما الثانية فتعتمد على رسائل تصيّد تحتوي على ملف اختصار ويندوز خبيث بصيغة LNK؛ عند فتحه ينفّذ الأمر عبر PowerShell لتحميل وتشغيل ChaosBot، بينما تعرض شاشة PDF موهّنة باسم مراسلة تبدو كأنها صادرة عن «بنك الدولة في فيتنام» كمشتت بصري لضحايا الاختراق.
بنية البرمجية ووظائف التحكم عن بعد
الحِمل الخبيث عبارة عن مكتبة DLL مسيء (“msedge_elf.dll”) تُحمَّل جانبيًا (sideloading) عبر ثُنائِي Microsoft Edge المسمّى “identity_helper.exe”. بعد تحميلها تجري عمليات استطلاع للنظام وتقوم بتنزيل أداة عكسية تعمل كـ fast reverse proxy (FRP) لفتح نفق عكسي إلى الشبكة والحفاظ على الوصول الدائم. حاول المهاجمون أيضًا إعداد خدمة نفق في Visual Studio Code كقناة خلفية إضافية لكن المحاولات كانت غير ناجحة.
الأهم أن ChaosBot تتصل بقناة Discord أعدّها المشغّل، حيث تُنشأ القناة باسم الكمبيوتر المصاب لتلقي التعليمات الاختيارية. يشغّل المشغّل حسابًا باسم “chaos_00019” وحسابًا ثانويًا مرتبطًا بعمليات C2 باسم lovebb0024. من أوامر البرمجية المدعومة: تنفيذ أوامر شل عبر PowerShell (shell)، التقاط لقطات شاشة (scr)، تنزيل ملفات إلى الجهاز المصاب (download)، ورفع ملفات إلى قناة Discord (upload).
تقنيات التهرب وتطور عائلة Chaos الخبيثة
أشارت eSentire إلى أن نسخًا حديثة من ChaosBot تستخدم تقنيات تهرب متقدمة لتجاوز Event Tracing for Windows (ETW) وبيئات الآلات الافتراضية. تضمّن ذلك تعديل التعليمات الأولى في الدالة ntdll!EtwEventWrite لاستبدالها بتعليمة تُعيد القيمة فورًا، بالإضافة إلى فحص عناوين MAC للمقارنة مع بادئات معروفة لآلات VMware وVirtualBox؛ فإذا وُجد تطابق، تنهي البرمجية تنفيذها لتتفادى التحليل داخل بيئة افتراضية.
بالتوازي، أوردت Fortinet FortiGuard Labs كشفًا عن متغير فتاك آخر من عائلة Chaos مكتوب بلغة C++ ويحمل اسم Chaos-C++؛ هذا المتغير يقدم قدرات مدمّرة جديدة تتمثّل في حذف ملفات كبيرة بحجم يفوق 1.3 جيجابايت بدل تشفيرها، إضافة إلى وظيفة اختطاف الحافظة clipboard لإبدال عناوين بيتكوين بعناوين محفظة يسيطر عليها المهاجم، ما يسهّل سرقة تحويلات العملات المشفّرة. يعتمد ملف تنزيل Chaos-C++ على إقناع المستخدمين بتثبيت أدوات مزيفة مثل System Optimizer v2.1، وهو يحقق مرونة تنفيذية عالية تتضمن تشكيلة من طرق التشفير (متناظرة ولا متناظرة) وبدائل XOR عند الحاجة.
تتبع العملية بعد الإطلاق وجود ملف “%APPDATA%\READ_IT.txt” كمؤشر على تنفيذ سابق؛ إن وُجد يدخل البرنامج وضع المراقبة لمراقبة الحافظة. إذا لم يوجد وكان التنفيذ بامتيازات إدارية، يجري تعطيل آليات الاسترداد ثم يبدأ تشفير ملفات أقل من 50 ميجابايت، بينما يتجاوز الملفات بين 50 ميجابايت و1.3 جيجابايت لأسباب فعالية تشغيلية. أسلوب التنويع بين الحذف التدميري واختطاف الحافظة يعكس تحولًا في استراتيجية المهاجمين نحو مزيج من الابتزاز التدميري والسرقة المالية المباشرة لتعظيم العائد.
دلائل واستنتاجات مبدئية
توفر هذه التقارير إشارة إلى تزايد استخدام منصات تواصل عامة مثل Discord كقنوات C2 مرنة يصعب تعقّبها عند دمجها مع أساليب تحميل جانبي للـ DLL وحملات تصيّد مُتقنة. كما يبرز التطور في عائلة Chaos تبنّي تكتيكات هجومية متعددة المراحل تشمل الاستغلال داخل الشبكات، التحميل الجانبي، الأنفاق العكسية، وتقنيات التهرب من التحليل. المؤسسات، وخصوصًا قطاع الخدمات المالية الذي سجّل الكشف الأولي، مطالبة بتشديد مراقبة بيانات الاعتماد، تدقيق سياسات الصلاحيات، وتعزيز اكتشاف سلوكيات الاتصالات غير الاعتيادية مع خدمات الجهات الخارجية.
