شهد الربع الأول من عام 2025 تصاعدًا كبيرًا في التهديدات السيبرانية، حيث واصل مجرمو الإنترنت شن هجمات جديدة وتحسين أساليبهم التخريبية. فيما يلي نظرة على أبرز خمس برمجيات خبيثة تم تحليلها في بيئات مُحكمة.
1. NetSupport RAT واستغلال تقنية ClickFix
بدأ المهاجمون في استغلال تقنية ClickFix لنشر برمجية NetSupport RAT الخبيثة عبر صفحات CAPTCHA مزيفة يتم حقنها في مواقع مخترقة، مما يدفع المستخدمين إلى تشغيل أوامر PowerShell ضارة تؤدي إلى تنزيل البرمجية الخبيثة.
أهم ميزات NetSupport RAT:
– التحكم في شاشة الضحية في الوقت الفعلي.
– تحميل وتنزيل وحذف وتعديل الملفات.
– تشغيل أوامر النظام وتنفيذ سكربتات PowerShell.
– تسجيل ضربات لوحة المفاتيح وسرقة بيانات تسجيل الدخول.
– تثبيت نفسه في مجلدات بدء التشغيل ومفاتيح الريجستري لضمان البقاء بعد إعادة التشغيل.
– استخدام تقنيات إخفاء الشيفرة والتشفير لتجنب الاكتشاف.
بعد تحليل NetSupport RAT في ANY.RUN Sandbox، تبين أن البرمجية تقوم فور تشغيلها بالاتصال بخادم C2 للتحكم عن بعد، مما يسمح للمهاجمين بتنفيذ أوامر إضافية وتعديل إعدادات النظام.
2. Lynx Ransomware – خدمة الفدية كمنتج (RaaS)
تُعرف مجموعة Lynx RaaS بأنها كيان منظم يقدم برنامج الفدية كمنتج، مما يسمح للمشتركين بإعداد هجمات مخصصة عبر لوحة تحكم سهلة الاستخدام.
أبرز الهجمات في 2025:
– فبراير 2025: استهداف شركة Brown and Hurley الأسترالية، وسرقة 170 جيجابايت من البيانات الحساسة.
– يناير 2025: اختراق مكتب المحاماة الأمريكي Hunter Taubman Fischer & Li LLC.
خصائص Lynx Ransomware:
– تشفير جميع الملفات، بما في ذلك الأقراص المحلية والشبكات ووحدات التخزين القابلة للإزالة.
– سرقة البيانات الحساسة قبل التشفير، بما في ذلك المستندات وكلمات المرور والمعلومات المالية.
– استخدام قنوات اتصال مشفرة HTTPS لنقل البيانات المسروقة.
– تعطيل ميزات استعادة النظام في Windows لمنع استعادة الملفات.
– تشغيل نفسه في الذاكرة فقط لتجنب الاكتشاف.
– الاتصال بخوادم C2 عبر Tor للحفاظ على سرية التواصل.
بعد تحليل Lynx في ANY.RUN Sandbox، تبين أن البرمجية تغير خلفية سطح المكتب برسالة فدية، وتعيد تسمية الملفات بإضافة امتداد .LYNX.
3. AsyncRAT – استغلال بايثون ونفق TryCloudflare
تم الكشف عن حملة متطورة لنشر AsyncRAT باستخدام تحميلات Python غير مشروعة ونفق TryCloudflare لإخفاء الاتصالات.
سلسلة العدوى:
– تبدأ الهجمة برسالة تصيد احتيالي تحتوي على رابط Dropbox.
– يؤدي فتح الرابط إلى تنزيل ملف ZIP يحتوي على اختصار إنترنت (URL file).
– يقوم هذا الملف بجلب ملف LNK عبر TryCloudflare.
– تشغيل الملف يؤدي إلى تنفيذ سكربتات PowerShell وJavaScript لتنزيل حمولة AsyncRAT.
الميزات التقنية:
– تنفيذ أوامر وتحكم عن بعد في الملفات.
– سرقة المعلومات الحساسة، بما في ذلك بيانات تسجيل الدخول.
– استخدام التشفير والتعتيم على الشيفرة لتجنب الاكتشاف.
– تخزين نفسه في %AppData% ليبدو كملف شرعي.
أظهر تحليل ANY.RUN Sandbox أن البرمجية تتصل بخادم C2 على port 7575، مما يسمح للمهاجمين بالتحكم الكامل في الأجهزة المصابة.
4. Lumma Stealer – استغلال GitHub للتوزيع
استخدم المهاجمون منصة GitHub Releases لنشر Lumma Stealer، وهي برمجية خبيثة متخصصة في سرقة المعلومات.
خصائص Lumma Stealer:
– سرقة بيانات المتصفح، بما في ذلك كلمات المرور وملفات تعريف الارتباط.
– جمع معلومات النظام وإرسالها إلى خوادم التحكم عن بعد.
– تنزيل ونشر برمجيات خبيثة أخرى مثل SectopRAT وVidar وCobeacon.
– إنشاء إدخالات في الريجستري لضمان البقاء على النظام.
أظهر تحليل ANY.RUN Sandbox أن البرمجية تتصل بخوادم التحكم وتقوم بسرقة بيانات المستخدمين، مع تفعيل قواعد Suricata الأمنية لاكتشاف أنشطتها المشبوهة.
5. InvisibleFerret – تهديد صامت عبر عروض التوظيف المزيفة
استخدم مجرمو الإنترنت برمجية InvisibleFerret، المستندة إلى Python، لاستهداف الباحثين عن عمل عبر عروض توظيف مزيفة.
خصائص InvisibleFerret:
– استخدام سكربتات Python مشوشة لتجنب التحليل.
– البحث عن معلومات حساسة وسرقتها، بما في ذلك أكواد المصدر ومحافظ العملات الرقمية.
– تحميله كحمولة ثانوية عبر برمجية BeaverTail، وهو برنامج خبيث مكتوب بـ JavaScript.
– ضمان البقاء على النظام عبر تقنيات متقدمة.
أظهر تحليل ANY.RUN Sandbox أن البرمجية تجمع بيانات النظام مثل الإصدار، اسم الجهاز، والموقع الجغرافي باستخدام خدمات مثل ip-api.com، مما يجعل اكتشافها صعبًا.
وأخيرا.. فقد كان الربع الأول من عام 2025 حافلًا بالهجمات السيبرانية المتقدمة، من برامج الفدية إلى أدوات التجسس الصامتة. لكن لا يزال بإمكان الشركات التصدي لها باستخدام أدوات تحليل البرمجيات الخبيثة مثل ANY.RUN، والتي تساعد في:
– كشف المؤشرات الأمنية (IOCs) بسرعة.
– الحصول على تقارير تحليل متعمقة لفهم سلوك البرمجيات الخبيثة.
– تحديد التكتيكات والأساليب المستخدمة عبر إطار ATT&CK.
– التعاون مع فرق الأمن السيبراني لتحليل الهجمات في الوقت الفعلي.
