كشف باحثون في مجال الأمن السيبراني عن مجموعة تهديد جديدة تُعرف باسم Water Curse، تعتمد على مستودعات GitHub مسلحة لنشر حملة برمجيات خبيثة متعددة المراحل.
ووفقًا لتحليل صادر عن شركة Trend Micro، فإن البرمجيات الخبيثة المستخدمة في الحملة تتيح للمهاجمين تنفيذ سرقة بيانات حساسة (مثل بيانات تسجيل الدخول وبيانات المتصفح والتوكنات)، والوصول عن بُعد، والبقاء طويل الأمد داخل الأنظمة المصابة.
أدوات اختبار اختراق كواجهة مموهة
بدأت الحملة، التي وُصفت بأنها “واسعة النطاق ومستمرة”، في الظهور الشهر الماضي، حيث أنشأ المهاجمون مستودعات على GitHub تعرض أدوات تبدو مشروعة لاختبار الاختراق مثل “Sakura-RAT” و”SMTP Email Bomber”، لكن هذه المشاريع تحتوي في ملفات إعداد Visual Studio على برمجيات خبيثة مدمجة تسحب البيانات الحساسة عند التنفيذ.
قال الباحثون:
“تُظهر Water Curse قدرة تطويرية متعددة اللغات والأدوات، ما يعكس تركيزهم على مطوري البرمجيات واستغلال سلاسل التوريد الرقمية، حيث يطمسون الخط الفاصل بين أدوات الفرق الحمراء (Red Team) والبرمجيات الخبيثة.”
سلسلة عدوى متقدمة
عند تنفيذ المشروع المصاب، تبدأ سلسلة عدوى معقدة متعددة المراحل تشمل:
-
سكريبتات VBS وPowerShell مشفّرة ومموّهة
-
تنزيل أرشيفات مشفّرة
-
استخراج تطبيقات مبنية على Electron
-
تنفيذ استطلاع واسع للنظام
-
استخدام تقنيات ضد التصحيح (Anti-Debugging)، وتصعيد الصلاحيات، وآليات الثبات والبقاء
كما يتم تنفيذ سكريبتات PowerShell لتعطيل وسائل الدفاع في النظام ومنع استعادته.
دوافع مالية وعمل منظم
وصفت الشركة المجموعة بأنها جهة تهديد ذات دوافع مالية، تركز على سرقة بيانات الدخول، واختطاف الجلسات، وبيع الوصول غير المشروع إلى الأنظمة المصابة. وقد تم ربط الحملة بما لا يقل عن 76 حساب GitHub، ويُعتقد أن نشاط المجموعة بدأ منذ مارس 2023.
بينما تم استخدام GitHub سابقًا كوسيلة لنشر البرمجيات الخبيثة، إلا أن إنشاء شبكة من الحسابات لنشر مستودعات خبيثة يرتبط بحملة أخرى تُعرف باسم Stargazers Ghost Network، والتي تستخدم نفس تقنية الهجوم المعروفة .
وعلّقت شركة Check Point Research قائلة:
“لا يمكننا تأكيد أو نفي الصلة بـ Stargazers Ghost Network بسبب محدودية البيانات، ولكن تم استخدام نفس الأسلوب في حملات سابقة مرتبطة بها.”
تنوع في الأهداف والأساليب
قالت Trend Micro:
“تحتوي مستودعات Water Curse على برمجيات خبيثة، أدوات للتملّص، غش ألعاب، أدوات لمحافظ العملات الرقمية، أدوات لجمع المعلومات، روبوتات إرسال مزعج، وبرمجيات لسرقة بيانات الدخول، ما يدل على استراتيجية استهداف شاملة متعددة المجالات تمزج بين الجريمة الإلكترونية والربح الانتهازي.”
كما تعتمد البنية التحتية الخاصة بهم على تقنيات التخفي والتوسع، مع استخدام منصات عامة مثل Telegram وخدمات مشاركة الملفات لتسريب البيانات.
استغلال ClickFix وحملات أخرى متزامنة
تتزامن هذه الحملة مع ظهور عدة حملات خبيثة أخرى تستخدم أسلوب ClickFix لنشر برمجيات متنوعة مثل:
-
AsyncRAT
-
DeerStealer (عبر Hijack Loader)
-
Filch Stealer
-
LightPerlGirl
-
SectopRAT (عبر Hijack Loader)
قالت شركة Halcyon:
“تستخدم هذه الحملات أنفاق مؤقتة من Cloudflare، ما يجعل من الصعب رصدها عبر وسائل الحماية التقليدية، إذ تبدو كأنها بنية تحتية موثوقة.”
ويؤدي هذا الأسلوب إلى توزيع البرمجيات دون الحاجة إلى خوادم مخترقة أو خدمات استضافة غير شرعية، ما يزيد من قدرة الحملة على الانتشار والتخفي.
حملة أوروبية تستهدف المحاسبين بـ Sorillus RAT
في سياق متصل، تم رصد حملة خبيثة أخرى تستهدف مؤسسات أوروبية في دول مثل إسبانيا، البرتغال، إيطاليا، فرنسا، بلجيكا، وهولندا، باستخدام رسائل تصيّد تتعلق بالفواتير لنشر برمجية التحكم عن بُعد Sorillus RAT.
ووفقًا لـ Orange Cyberdefense، فإن الحملة تعتمد على رسائل بريد إلكتروني مزيفة تحتوي على ملفات PDF ترتبط بروابط OneDrive، تقوم بتحويل الضحية إلى صفحة خبيثة تعمل كنظام توزيع حركة (TDS)، حيث يتم تنزيل ملف JAR يحتوي على Sorillus RAT في حال تحقق شروط معينة في جهاز الضحية.
Sorillus هي برمجية خبيثة قائمة على Java، ظهرت لأول مرة في 2019، وتتمتع بقدرات مثل:
-
تسجيل المفاتيح
-
التقاط لقطات الشاشة
-
تسجيل الصوت
-
تنفيذ أوامر
-
رفع وتنزيل ملفات
-
حذف نفسها تلقائيًا
قالت Orange Cyberdefense:
“تعتمد الحملة على مزيج ذكي من الخدمات الشرعية مثل OneDrive، MediaFire، ومنصات أنفاق مثل Ngrok وLocaltoNet، مع استخدام لغوي مستمر للغة البرتغالية البرازيلية، ما يشير لاحتمال ارتباط الحملة بجهات تهديد ناطقة بالبرتغالية.”
