كشف باحثو الأمن السيبراني عن هجوم إلكتروني غير مألوف يعتمد على برمجية خبيثة تحتوي على رؤوس DOS و PE تالفة، وفقًا لتقرير حديث صادر عن Fortinet.
تُعد رؤوس DOS و PE من العناصر الأساسية لملفات Windows PE ، حيث تعمل على توفير المعلومات الضرورية لتشغيل التطبيقات التنفيذية.
– يساعد رأس DOS على ضمان التوافق مع أنظمة MS-DOS ، مما يسمح بالتعرف على الملف كتنفيذي صالح.
– بينما يتضمن رأس PE البيانات الوصفية والمعلومات اللازمة لتحميل البرنامج وتنفيذه ضمن نظام Windows.
وقد أكد الباحثان شياوبينغ تشانغ و جون سيمونز من FortiGuard Incident Response Team أنه تم رصد البرمجية الخبيثة وهي تعمل داخل نظام مخترق لعدة أسابيع ، حيث استخدم المهاجم مجموعة من سكريبتات PowerShell لتشغيل البرمجية داخل عملية dllhost.exe.
ورغم تعذر استخراج البرمجية مباشرةً، تمكن فريق Fortinet من الحصول على تفريغ للذاكرة التي كانت تحتوي على البرمجية قيد التشغيل. ولم يتم حتى الآن تحديد كيفية توزيع البرمجية أو مدى انتشار الهجمات المرتبطة بها.
آلية عمل البرمجية الخبيثة
عند تنفيذ البرمجية، يتم فك تشفير بيانات التحكم والسيطرة (C2) المخزنة في الذاكرة، ثم يتم إنشاء اتصال بالخادم المستهدف (“rushpapers[.]com”) عبر بروتوكول TLS.
يتبع الهجوم منهجية متعددة الخطوات:
1. إطلاق خيط اتصال للتواصل مع خادم C2.
2. إدخال العملية الرئيسية في وضع السكون حتى انتهاء اتصال البرمجية بالخادم.
3. تشغيل Trojan متعدد الوظائف يتميز بقدرته على:
– التقاط لقطات شاشة من الجهاز المخترق.
– التلاعب بخدمات النظام والإعدادات الداخلية.
– إدارة اتصالات العملاء (Client Connections) عبر بنية Sockets متعددة المهام، مما يتيح تنفيذ هجمات متقدمة.
تداعيات الهجوم وتحذيرات أمنية
أوضحت Fortinet أن البرمجية تحوّل الأنظمة المصابة إلى منصة وصول عن بُعد ، مما يسمح للمهاجم بشن هجمات إضافية أو تنفيذ أوامر نيابة عن الضحية.
قال الباحثون إن هذه التقنية المعتمدة على رؤوس DOS وPE الفاسدة تهدف إلى عرقلة عمليات التحليل وكشف الحمولة الخبيثة من الذاكرة، مما يزيد من صعوبة التصدي للهجوم.
