حذّر باحثون في الأمن السيبراني من حملة تصيّد إلكتروني جديدة تستهدف مستخدمين في تايوان، تستخدم برمجيات خبيثة متطورة من فئة أحصنة طروادة للتحكم عن بعد، تشمل HoldingHands RAT وGh0stCringe.
وكشفت مختبرات Fortinet FortiGuard في تقرير جديد، أن هذه الحملة تمثل امتدادًا لسلسلة أنشطة خبيثة أوسع، سبق أن استخدمت إطار Winos 4.0 في هجمات سابقة خلال يناير الماضي، من خلال رسائل تصيّد تنتحل صفة المكتب الوطني للضرائب في تايوان.
أدوات متطورة وتهديدات متقدمة
ووفقًا للتقرير، رصدت Fortinet عينات إضافية من البرمجيات الخبيثة، وأكدت أن الجهة الفاعلة وراء هذه الحملة تُعرف باسم مجموعة Silver Fox APT، وتستخدم ملفات PDF وZIP مفخخة يتم إرسالها عبر رسائل بريد إلكتروني مزيفة، لتنزيل برمجيات Gh0stCringe ونسخة معدلة من HoldingHands RAT.
ومن الجدير بالذكر أن كلًا من HoldingHands RAT (المعروفة أيضًا باسم Gh0stBins) وGh0stCringe، هما نسختان مطوّرتان من برمجية Gh0st RAT الشهيرة، والتي تُعد من الأدوات المفضّلة لدى مجموعات التهديد الصينية.
هندسة اجتماعية وتصيّد متقن
تبدأ سلسلة الهجوم برسائل بريد إلكتروني انتحالية تُظهر نفسها على أنها صادرة من جهات حكومية أو شركاء تجاريين، وتستخدم مواضيع مثل الضرائب، والفواتير، والمعاشات، لإقناع الضحايا بفتح المرفقات.
كما أُشير إلى وجود سلاسل هجوم بديلة تعتمد على صور مضمنة، تؤدي عند النقر عليها إلى تنزيل البرمجية الخبيثة.
مراحل إصابة متعددة ومعقدة
تحتوي ملفات PDF على روابط تؤدي إلى صفحات تنزيل تستضيف ملفات ZIP مضغوطة. وتضم هذه الملفات:
-
برامج تنفيذية شرعية
-
محمّلات Shellcode
-
شيفرة Shellcode مشفّرة
ويُستخدم محمّل الشيفرة لفك تشفيرها وتشغيلها، والتي تكون عبارة عن ملفات DLL تُحمَّل باستخدام تقنية DLL Side-Loading عن طريق البرامج الشرعية.
وتمرّ الهجمة بعدة مراحل، تتضمّن خصائص مضادة لبيئات الاختبار الافتراضية (Anti-VM) وتقنيات لرفع الامتيازات (Privilege Escalation) لضمان استمرار عمل البرمجية دون اكتشاف أو عرقلة.
وتنتهي سلسلة الإصابة بتنفيذ ملف يُدعى msgDb.dat، يحتوي على وظائف تحكم وسيطرة (C2) تسمح للمهاجمين بجمع معلومات الضحية، وتنزيل وحدات إضافية لتمكين:
-
إدارة الملفات
-
التحكم عن بُعد بسطح المكتب
تطور مستمر في التكتيكات
وذكرت Fortinet أنها رصدت استخدام البرمجية Gh0stCringe أيضًا عبر مرفقات PDF تقود المستخدمين إلى صفحات HTML مزيفة لتحميل المستندات.
وأوضحت الشركة أن:
“سلسلة الهجوم تتكون من عدة أجزاء معقدة من الشيفرات والمحمّلات، ما يجعل تدفق الهجوم معقدًا ومتعدد المراحل. ومن خلال أدوات مثل Winos، وHoldingHands، وGh0stCringe، تستمر هذه المجموعة في تطوير برمجياتها وتكتيكات التوزيع الخاصة بها بشكل متسارع.”
