كشفت تقارير عن استغلال مجموعة التهديد السيبراني EncryptHub لثغرة أمنية حديثة الإصلاح في نظام Microsoft Windows ، ما يُعرف بـ “ثغرة Zero-Day”، لنشر مجموعة واسعة من البرمجيات الضارة مثل Rhadamanthys و StealC التي تتضمن برمجيات خلفية وبرمجيات لسرقة البيانات.
تفاصيل الهجوم
الثغرة المستغلة: CVE-2025-26633
– تُعرف هذه الثغرة بأنها خلل في حيادية مدخلات البيانات داخل إطار عمل Microsoft Management Console (MMC) .
– يُمكن للمهاجمين استغلالها لتجاوز ميزات الحماية المحلية.
– تم إصلاح هذه الثغرة بواسطة شركة مايكروسوفت في تحديث Patch Tuesday لهذا الشهر.
طريقة استغلال الثغرة
– أطلقت شركة Trend Micro اسم MSC EvilTwin على طريقة استغلال الثغرة.
– يتم إنشاء ملفين بنفس الاسم داخل نفس الموقع، أحدهما نظيف والآخر خبيث في دليل فرعي باسم “en-US”.
– عندما يتم تشغيل الملف النظيف، يختار MMC الملف الخبيث بدلاً منه وينفذه دون علم الضحية.
التكتيكات التي استخدمها EncryptHub
1. تنزيل وتشغيل البرمجيات الضارة باستخدام ExecuteShellCommand:
– يتم تنزيل حمولة ضارة على جهاز الضحية ثم تنفيذها.
– تم توثيق هذه الطريقة من قبل شركة Outflank في أغسطس 2024.
2. استخدام أدلة مزيفة موثوقة:
– يتم إنشاء دليل وهمي يبدو موثوقًا مثل “C:\Windows \System32” (لاحظ المسافة بعد كلمة Windows) لتجاوز التحكم في حساب المستخدم (UAC).
– يتم إسقاط ملف ضار يُدعى “WmiMgmt.msc”.
أساليب توزيع الحمولة
بداية الهجوم
– غالبًا ما تبدأ السلاسل الهجومية بتنزيل ملفات تثبيت MSI موقعة رقميًا تُحاكي برامج صينية شرعية مثل DingTalk أو QQTalk .
– تُستخدم هذه الملفات لجلب وتشغيل البرمجيات الخبيثة من خادم بعيد.
التقنيات المستخدمة
– تعتمد الحملة على وسائل متعددة لتوصيل الحمولة الضارة، مع تخصيصها لضمان الاستمرارية وسرقة البيانات الحساسة.
– يتم إرسال البيانات إلى خوادم التحكم والقيادة (C&C) للمهاجمين.
تأثيرات الهجوم
ما الذي يجعل هذه الحملة خطيرة؟
– تستخدم برمجيات معدة خصيصًا للحفاظ على وجودها في الأنظمة المصابة.
– تعتمد على تقنيات معقدة لجمع البيانات الحساسة وتصعيد الوصول داخل الشبكات.
الملاحظات حول تطوير الهجوم
– يُظهر تحليل Trend Micro أن الحملة تحت التطوير النشط منذ أبريل 2024، مع تجربة مستمرة لطرق جديدة لتحقيق الأهداف.
