تستهدف حملة تجسس سيبراني جديدة منظمات حكومية في جنوب شرق آسيا، بغرض جمع معلومات حساسة باستخدام باب خلفي جديد غير موثّق سابقًا على أنظمة ويندوز يُعرف باسم HazyBeacon.
ويجري تتبّع هذا النشاط من قِبل فريق Unit 42 التابع لشركة Palo Alto Networks تحت الرمز CL-STA-1020، حيث تشير “CL” إلى “عنقود تهديدي” (Cluster)، و”STA” إلى “دافع مدعوم من دولة” (State-backed motivation).
قال الباحث الأمني ليور روشبيرغر في تحليل نُشر الإثنين:
“المهاجمون المسؤولون عن هذه الحملة يعملون على جمع معلومات حساسة من وكالات حكومية، بما في ذلك بيانات متعلقة بالرسوم الجمركية الأخيرة والنزاعات التجارية”.
جنوب شرق آسيا… بؤرة متزايدة للتجسس السيبراني
تُعد منطقة جنوب شرق آسيا هدفًا متصاعدًا لحملات التجسس الرقمي بسبب دورها المحوري في مفاوضات التجارة، وتحديث القوات العسكرية، وتوجهاتها الجيوسياسية في خضم التنافس بين الولايات المتحدة والصين. واستهداف الوكالات الحكومية هنا يمنح المهاجمين رؤى استراتيجية حول السياسات الخارجية، وتخطيط البنية التحتية، والتغييرات التنظيمية الداخلية التي تؤثر على الأسواق الإقليمية والعالمية.
نشر البرمجية باستخدام DLL خبيث وتقنيات التخفي
لم تُحدّد بعد الطريقة الدقيقة التي يستخدمها المهاجمون للوصول الأولي إلى الأنظمة المصابة، لكن الأدلة تشير إلى استخدام تقنية DLL side-loading، وذلك بزرع نسخة خبيثة من مكتبة “mscorsvc.dll” إلى جانب ملف تنفيذي شرعي لويندوز هو “mscorsvw.exe”. وبمجرد تشغيل الملف، يبدأ في الاتصال بعنوان URL تابع للمهاجمين يسمح بتنفيذ أوامر عشوائية وتنزيل حمولة إضافية.
يتم ضمان استمرارية تشغيل البرمجية عبر تسجيل خدمة تُعيد تشغيل DLL حتى بعد إعادة تشغيل النظام.
AWS Lambda… قناة تحكم وتخفي
ما يميز HazyBeacon هو استخدامه لخدمة AWS Lambda URLs كقناة للتحكم والسيطرة (C2)، ما يُظهر استمرار جهات التهديد في استغلال خدمات سحابية شرعية للتمويه والهروب من أنظمة الكشف.
وأوضح روشبيرغر:
“AWS Lambda URLs تتيح للمستخدمين تشغيل وظائف Serverless عبر HTTPS. ويُستخدم هذا الأسلوب كقناة اتصال موثوقة وقابلة للتوسيع، ويصعب اكتشافها بسبب اعتمادها على بنية سحابية شرعية”.
يوصى المدافعون بمراقبة حركة الخروج نحو نطاقات غير معتادة مثل .lambda-url..amazonaws.com، خاصةً إذا تم الوصول إليها من ملفات تنفيذية غير مألوفة أو خدمات نظام غريبة. ورغم أن استخدام AWS بحد ذاته ليس مريبًا، إلا أن ربط سياق السلوك – كأصل العملية، وسلسلة التنفيذ، وسلوك نقاط النهاية – يساعد على التمييز بين النشاط الشرعي والخبيث.
وحدات جمع الملفات وقنوات التسريب
من بين الحمولات التي تُنزلها البرمجية وحدة مخصصة لجمع الملفات التي تتطابق مع أنواع معينة من الامتدادات مثل: doc, docx, xls, xlsx, pdf، وضمن إطار زمني محدد. ويشمل ذلك البحث عن ملفات متعلقة بالرسوم الجمركية الأخيرة التي فرضتها الولايات المتحدة.
كما يستخدم المهاجمون خدمات سحابية مثل Google Drive وDropbox كقنوات لتسريب البيانات، بهدف التمويه وسط حركة الشبكة العادية. وفي الحادثة التي حللتها Unit 42، تم اعتراض ومنع محاولات رفع الملفات إلى هذه الخدمات.
في المرحلة النهائية للهجوم، ينفذ المهاجمون أوامر “تنظيف” تهدف إلى إزالة أي أثر، بما في ذلك حذف الأرشيفات والحمولات التي تم تحميلها.
قال روشبيرغر:
“استخدم المهاجمون HazyBeacon كأداة أساسية للحفاظ على موطئ قدم داخل الأنظمة المستهدفة وجمع المعلومات الحساسة منها. وتُظهر هذه الحملة كيف يواصل المهاجمون استغلال الخدمات السحابية الشرعية بطرق جديدة”.
تهديدات LOTS: العيش داخل الخدمات الموثوقة
تعكس HazyBeacon اتجاهًا أوسع في تهديدات APT (التهديدات المستمرة المتقدمة) يتمثل في الاعتماد على منصات موثوقة كقنوات سرية – وهي تقنية تُعرف باسم LOTS: Living-Off-Trusted-Services. وتُستخدم فيها أدوات مثل Google Workspace، Microsoft Teams، وواجهات Dropbox API لتجاوز أنظمة الحماية وتمكين وصول طويل الأمد يصعب تتبعه.
