هجوم سيبراني جديد باستخدام برمجية SharkLoader لنشر أداة Cobalt Strike

في تطور جديد يثير القلق في عالم الأمن السيبراني، كشفت شركة Kaspersky عن حملة هجومية واسعة النطاق أطلق عليها اسم StrikeShark، تستهدف مؤسسات دبلوماسية وحكومية وشركات تطوير برمجيات في مناطق متعددة حول العالم، مستخدمة برمجية خبيثة جديدة غير موثقة سابقًا تُعرف باسم SharkLoader، تعمل كأداة تحميل لنشر Cobalt Strike Beacon على الأجهزة المصابة.

انتشار جغرافي واسع وأهداف متنوعة

أوضحت الشركة أن الحملة استهدفت منظمة دبلوماسية في إندونيسيا، مؤسسات حكومية في تايوان، وشركات تطوير برمجيات في عدة دول، إضافة إلى كيانات في هونغ كونغ ولبنان وسوريا وكولومبيا ومقدونيا الشمالية ونيبال وصربيا. هذا التنوع الجغرافي والقطاعي يعكس أن الحملة ليست محدودة النطاق، بل تسعى لتحقيق أهداف تجسسية واسعة، مع ترجيحات بوجود جهة ناطقة بالصينية وراءها، نظرًا لاستخدام أدوات مفتوحة المصدر شائعة بين مطوري البرمجيات في تلك البيئة مثل FScan وPillager.

استغلال ثغرات معروفة للوصول الأولي

اعتمد المهاجمون على استغلال ثغرات أمنية خطيرة للوصول إلى الأنظمة المستهدفة، من أبرزها:

  • ثغرة ProxyLogon في خوادم Microsoft Exchange (CVE-2021-26855).
  • ثغرة Path Traversal في Openfire (CVE-2023-32315).
  • ثغرة تنفيذ التعليمات البرمجية عن بُعد في GeoServer (CVE-2024-36401).

كما استُخدمت ثغرات أخرى في منتجات مثل Apache Shiro، Hikvision، SharePoint، Zimbra، F5 BIG-IP، Fortinet FortiOS، وCisco IOS XE Web UI، ما يعكس اعتماد المهاجمين على استغلال واسع النطاق للثغرات المنشورة مع شيفرات إثبات المفهوم المتاحة على منصات مثل GitHub.

تقنيات التحميل والتنفيذ الخبيث

بعد الحصول على موطئ قدم، يقوم المهاجمون بزرع Web Shells لتفعيل سلسلة تحميل جانبية عبر ملف SystemSettings.exe، ما يؤدي إلى تحميل مكتبة SystemSettings.dll التي تحتوي على SharkLoader. كما استخدموا أدوات تنكرية مثل مثبتات مزيفة لبرامج شائعة (Google Update، Cisco AnyConnect)، إضافة إلى مستندات PDF خادعة لإقناع الضحايا بفتح الملفات. يعتمد SharkLoader على تقنية Perfect DLL Hijacking لتجاوز آليات حماية النظام، حيث يقوم بفك تشفير وتحميل ملفات مثل DscCoreR.mui التي تُستخدم لاحقًا لتشغيل Cobalt Strike في وضع مخفي، مع مكونات إضافية مثل:

  • SyncRes.dat: لتثبيت خطافات على واجهات برمجية باستخدام مكتبة Detours.
  • MinHook DLL: لتثبيت خطافات على وظائف مثل VirtualAlloc وSleep، ما يساعد في إخفاء النشاط الخبيث عن أدوات الفحص.
أهداف الحملة ومؤشرات التجسس

رغم غياب أدلة مباشرة على سرقة البيانات حتى الآن، إلا أن طبيعة الأهداف (حكومية وبرمجية) تشير إلى نوايا تجسسية، سواء للحصول على معلومات سياسية أو ملكية فكرية. كما أن استخدام أدوات مثل Active Directory Enumeration وCredential Theft عبر استهداف عمليات LSASS وقاعدة بيانات NTDS يعزز فرضية التجسس. في المقابل، لا يُستبعد أن تكون الحملة أيضًا ذات طابع انتهازي، تستغل الأنظمة الضعيفة لتحقيق أهداف مستقبلية باستخدام وحدات Cobalt Strike الخاصة بالتحكم في الملفات أو استخراج البيانات.

محمد طاهر
محمد طاهر
المقالات: 1703

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.