تم اكتشاف حملة برمجيات خبيثة واسعة النطاق تستخدم برنامج تشغيل Windows ضعيفًا مرتبطًا بمجموعة منتجات Adlice لتجاوز آليات الاكتشاف ونشر البرمجية الخبيثة Gh0st RAT.
🔹 وفقًا لتقرير جديد صادر عن Check Point، فإن المهاجمين قاموا عمدًا بإنشاء عدة إصدارات معدلة من الإصدار 2.0.2 من برنامج التشغيل Truesight.sys، مع تغيير أجزاء معينة من الملف التنفيذي (PE) للحفاظ على التوقيع الرقمي سليمًا وتفادي الاكتشاف.
آلية الهجوم: هجوم BYOVD
🛑 تعتمد هذه الحملة على تقنية “أحضر برنامج التشغيل الضعيف الخاص بك” (BYOVD)، حيث يتم استخدام إصدارات قديمة غير آمنة من برنامج التشغيل لتنفيذ عمليات ضارة تشمل:
✔ تعطيل برامج كشف التهديدات والاستجابة (EDR)
✔ تحميل Gh0st RAT على الأنظمة المستهدفة
🔹 تم تحديد ما لا يقل عن 2,500 إصدارًا مختلفًا من الإصدار القديم 2.0.2 من برنامج تشغيل RogueKiller Antirootkit عبر منصة VirusTotal، ومن المرجح أن يكون العدد الفعلي أعلى من ذلك.
🔹 تم اكتشاف وحدة قتل EDR لأول مرة في يونيو 2024.
ثغرة أمنية خطيرة في Truesight.sys
📌 يعاني برنامج تشغيل Truesight من ثغرة إنهاء العمليات العشوائية، مما يسمح للمهاجمين بإنهاء أي عملية على النظام، بما في ذلك برامج الحماية والأمان.
📌 تم استغلال هذه الثغرة سابقًا في إثباتات المفهوم (PoC) مثل Darkside و TrueSightKiller، المتاحة علنًا منذ نوفمبر 2023.
ارتباط الحملة بمجموعة Silver Fox APT
📌 تشير بعض الأدلة إلى أن هذه الحملة قد تكون من تنفيذ مجموعة Silver Fox APT، نظرًا للتشابه في آلية التنفيذ، بما في ذلك:
✔ أسلوب نشر الهجوم
✔ التسلسل الزمني للعدوى
✔ أوجه التشابه في البرمجيات الخبيثة المستخدمة
📍 تشير البيانات إلى أن 75% من الضحايا في الصين، بينما تتركز بقية الأهداف في سنغافورة وتايوان.
طريقة استهداف الضحايا
📌 يتم توزيع البرمجيات الخبيثة عبر مواقع احتيالية تعرض عروضًا مزيفة على المنتجات الفاخرة، بالإضافة إلى قنوات احتيالية عبر تطبيقات المراسلة مثل Telegram.
📌 يتم إخفاء البرامج الضارة في ملفات تبدو كملفات عادية مثل PNG و JPG و GIF، وعند تحميلها، يتم تنزيل الحمولة التالية، التي تحتوي على:
✔ برنامج تشغيل Truesight.sys الضعيف
✔ البرمجية الخبيثة Gh0st RAT
كيف يتجاوز الهجوم آليات الأمان؟
✅ يتم دمج وحدة قتل EDR/AV مباشرة في الحملة، لكنها قادرة أيضًا على العمل بشكل مستقل حتى لو لم يكن برنامج التشغيل Truesight مثبتًا مسبقًا.
✅ يستخدم الهجوم تقنية BYOVD لاستغلال برنامج التشغيل وإيقاف عمليات الأمن السيبراني، مما يسمح بتجاوز قائمة حظر برامج التشغيل الضعيفة من Microsoft، والتي تعتمد على قيم التجزئة (hash values) لاكتشاف برامج التشغيل غير الآمنة.
نشر HiddenGh0st RAT: السيطرة الكاملة على النظام
📌 يتم في المرحلة الأخيرة نشر إصدار جديد من Gh0st RAT يُعرف باسم HiddenGh0st، والذي يمنح المهاجمين:
✔ التحكم عن بُعد في الأنظمة المصابة
✔ إمكانية التجسس وسرقة البيانات
✔ التلاعب بالنظام وتنفيذ أوامر خبيثة
تحديثات Microsoft لمكافحة الهجوم
📢 اعتبارًا من 17 ديسمبر 2024، قامت Microsoft بتحديث قائمة حظر برامج التشغيل لإدراج Truesight.sys، مما يمنع استغلاله في المستقبل.
🔹 لكن Check Point حذرت من أن المهاجمين نجحوا في تعديل أجزاء معينة من برنامج التشغيل مع الحفاظ على التوقيع الرقمي، مما سمح لهم بتجاوز آليات الكشف، مثل Microsoft Vulnerable Driver Blocklist و LOLDrivers، لعدة أشهر.
🔹 استغلال ثغرة إنهاء العمليات العشوائية مكّن المهاجمين من إيقاف برامج الحماية الشائعة، مما عزز التخفي وسهّل استمرار الحملة لفترات طويلة.
🚨 الاستنتاج:
تشير هذه الهجمات إلى تصاعد استغلال برامج التشغيل الضعيفة لتجاوز أنظمة الحماية. على المؤسسات والمستخدمين اتخاذ تدابير أمنية إضافية مثل:
🔹 تحديث أنظمة التشغيل وبرامج الحماية بانتظام
🔹 استخدام قوائم الحظر لمراقبة تشغيل برامج التشغيل
🔹 التحقق من المصادر الرسمية قبل تنزيل البرامج
✋ البقاء يقظًا هو أفضل وسيلة للحماية ضد مثل هذه التهديدات المتقدمة.
