اختصارات قاتلة: سلاسل LNK عبر Discord تفضي إلى RAT متعدد القدرات

برمجية خبيثة جديدة مبنية بلغة Rust تُدعى «ChaosBot» تستخدم قنوات Discord للتحكم في حواسيب الضحايا
برمجية خبيثة جديدة مبنية بلغة Rust تُدعى «ChaosBot» تستخدم قنوات Discord للتحكم في حواسيب الضحايا
شارك هذا الخبر

كشف تحليل أمني حديث من مختبرات K7 أنّ جهات تهديد توزّع ملفات اختصار Windows (.LNK) عبر منصة Discord كجزء من سلسلة هجوم متقنة، تهدف إلى تنزيل حزمة مضغوطة تحوي مكتبة DLL خبيثة تُشغّل لاحقًا باستخدام أداة نظام شرعية (odbcconf.exe) — لتتحوّل في النهاية إلى بوابة وصول عن بُعد (RAT) قادرة على تنفيذ أوامر من خادم قيادة وتحكم وجمع معلومات النظام.

سير الهجوم: من اختصار بسيط إلى تحميل صامت لـRAT

تبدأ السلسلة بإرسال ملف LNK مخادع عبر محادثة على Discord؛ عند نقر الضحية يفتح الاختصار مستنداً مُموِّهاً (مثل PDF خداعي) لشتت الانتباه، بينما في الخلفية يُنفّذ سكربت PowerShell يجهّز بنية المجلدات ويحمل أرشيف ZIP يحتوي DLL خبيثاً يُخزّن في مجلد مخفي ثم تُمحى آثار المؤقتات والملفات لتقليل البصمات الرقمية. بعد ذلك يُستدعى odbcconf.exe — أحد “الـLOLbins” النظامية — لتسجيل وتشغيل الـ DLL بشكل صامت، ما يجعل العملية تبدو وكأنها نشاط مشروع على النظام.

القدرات التقنية وأساليب التملص من الكشف

الـ DLL المُنزّل يعمل كـRAT متعدد الوظائف: ينفّذ أوامر من خادم C2، يجمع معلومات شاملة عن المنتجات الأمنية المثبتة على النظام، ويحمِل وحدات مساعدة ديناميكية لتعقيد التحليل. لبقاء طويل وصعب الاكتشاف، تعتمد الحمولة تقنيات متقدمة منها التلاعب بواجهات الحماية (محاولات تجاوز AMSI)، والتطعيم (patching) لوظائف التتبع في ويندوز مثل EtwEventWrite لتعطيل تتبع الأحداث (ETW)، بالإضافة إلى إساليب إخفاء ومسارات تخفي آثار الكتابة على القرص. استخدام odbcconf.exe لتشغيل الـ DLL هو مثال على استغلال أدوات نظام شرعية (LOLBins) لتفادي إنذارات حلول الأمن.

خلفيات المخاطر وتداعياتها العملية

تعيد هذه الحملة تسليط الضوء على اتجاه متصاعد في مشهد التهديد: العودة إلى استغلال صيغ بسيطة (اختصارات، مستندات خداعية) مقترنة باستعمال بنى نظامية مشروعة لتنفيذ حمولة خبيثة، ما يضاعف صعوبة الاكتشاف خاصة في بيئات العمل التي تعتمد على اتصالات سريعة ومنصات تواصل مثل Discord. كذلك، مسح الآثار ومسارات التنفيذ في الذاكرة يجعل التحقيق الجنائي والتحليل الساكن أقل فعالية، ما يستدعي مزيدًا من الأدوات السلوكية والمراقبة في الزمن الحقيقي.

توصيات فنية وعملية سريعة للمؤسسات

  • حظر استقبال وتشغيل ملفات LNK من مصادر خارجية أو عبر قنوات تواصل غير خاضعة للسياسة، وتعطيل تنفيذ الاختصارات في بيئات المستخدمين النهائية إن أمكن.

  • تقييد قدرات PowerShell عن طريق سياسات AppLocker/WDAC أو تشغيلها في وضع “لغة مقيدة” (Constrained Language) ومنع تحميل السكربتات من الإنترنت مباشرة.

  • مراقبة ونمذجة الاتصالات الصادرة إلى مواقع تخزين سحابي أو خوادم غير متوقعة، وتعريف قواعد إنذار لعمليات استدعاء LOLBins غير المألوفة مثل odbcconf.exe.

  • نشر حلول رصد سلوكي تركز على مؤشرات التنفيذ في الذاكرة، ومحاولات تعديل وظائف النظام (مثل EtwEventWrite) أو تجاويف AMSI.

  • إجراء تدريبات محاكاة هجوم (red team) تركز على سلاسل LNK وطرق تشغيل DLL عبر LOLBins لاختبار جاهزية الكشف والاستجابة.

وسوم
محمد وهبى
محمد وهبى
المقالات: 583

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة