حملة خبيثة متعددة المراحل تستهدف الأنظمة عبر البريد الإلكتروني وتستخدم أدوات متنوعة لنشر برمجيات تجسس

حملة خبيثة متعددة المراحل تستهدف الأنظمة عبر البريد الإلكتروني وتستخدم أدوات متنوعة لنشر برمجيات تجسس
حملة خبيثة متعددة المراحل تستهدف الأنظمة عبر البريد الإلكتروني وتستخدم أدوات متنوعة لنشر برمجيات تجسس
شارك هذا الخبر

رصد باحثون في الأمن السيبراني هجومًا جديدًا متعدد المراحل يستخدم آليات معقدة لنشر سلالات من البرمجيات الضارة مثل Agent Tesla وRemcos RAT وXLoader.

قال الباحث ساقب خانزادا من وحدة Unit 42 التابعة لشركة Palo Alto Networks في تحليل تقني للحملة:

“يعتمد المهاجمون بشكل متزايد على آليات تسليم معقدة لتفادي الرصد، وتجاوز بيئات التحليل التقليدية (sandboxes)، وضمان تنفيذ الحمولة الخبيثة بنجاح.”

البداية: بريد تصيّد مزيف ومرفق مضغوط يحتوي على ملف .JSE

تبدأ سلسلة الهجوم برسالة بريد إلكتروني مضللة تُظهِر نفسها على أنها طلب شراء، وتحتوي على مرفق خبيث بصيغة 7-Zip يتضمن ملف جافا سكريبت مشفر بصيغة .JSE.

تم رصد هذا البريد الإلكتروني في ديسمبر 2024، وكان يزعم كذبًا أنه تم تنفيذ دفعة مالية ويحث الضحية على مراجعة ملف الطلب المرفق.
عند فتح الملف، يبدأ تحميل سكربت PowerShell من خادم خارجي.

المرحلة الثانية: تحميل الحمولة وتشغيلها

يحتوي السكربت على حمولة مشفرة باستخدام Base64، يتم فك تشفيرها وكتابتها في مجلد الملفات المؤقتة لنظام ويندوز، ثم تشغيلها.
في هذه المرحلة، يتم تحميل Droppers إضافيين مبنيين إما بلغة .NET أو باستخدام AutoIt.

  • في حالة الملف التنفيذي المبني بـ .NET، يتم فك تشفير حمولة مدمجة – وهي نسخة من Agent Tesla يُعتقد أنها من نوع Snake Keylogger أو XLoader – ويتم حقنها داخل عملية RegAsm.exe، وهي تقنية معروفة في حملات Agent Tesla السابقة.

  • أما في حالة الملف المبني باستخدام AutoIt، يتم إدخال طبقة إضافية لتضليل التحليل الرقمي. يحتوي السكربت على حمولة مشفرة مسؤولة عن تحميل Shellcode نهائي، والذي يتم حقنه في عملية RegSvcs.exe، مما يؤدي إلى تنفيذ Agent Tesla.

سلسلة متعددة الطبقات لتفادي الكشف

أوضح الباحث خانزادا:

“تشير هذه الحملة إلى أن المهاجمين يعتمدون على مسارات تنفيذ متعددة لزيادة القدرة على البقاء والتمويه، مع التركيز على سلسلة هجوم متعددة الطبقات بدلاً من تقنيات التمويه المتقدمة.”

وأضاف:

“من خلال تكديس مراحل بسيطة بدلاً من استخدام تقنيات شديدة التعقيد، ينجح المهاجمون في إنشاء سلاسل هجوم مرنة ومعقدة يصعب تحليلها وكشفها.”

حملة منفصلة: IronHusky تطلق نسخة جديدة من MysterySnail RAT

تزامنًا مع الكشف عن حملة Agent Tesla، نشرت شركة Kaspersky تفاصيل عن حملة سيبرانية تستهدف جهات حكومية في منغوليا وروسيا عبر نسخة جديدة من البرمجية الخبيثة MysterySnail RAT، والتي تُنسب إلى جهة تهديد ناطقة بالصينية تُعرف باسم IronHusky.

تم تتبع IronHusky منذ عام 2017، وسبق أن تم ربطها في أكتوبر 2021 باستغلال ثغرة CVE-2021-40449 لرفع الامتيازات داخل نظام Windows واستغلالها لنشر MysterySnail.

آلية العدوى:

  • تبدأ الحملة من خلال سكربت خبيث يعمل داخل Microsoft Management Console (MMC)، ويبدو كأنه مستند رسمي من “الوكالة الوطنية للأراضي في منغوليا” بعنوان “co-financing letter_alamgac”.

  • يقوم السكربت بتنزيل أرشيف ZIP يحتوي على:

    • مستند طُعم

    • ملف تنفيذي شرعي باسم “CiscoCollabHost.exe”

    • مكتبة DLL خبيثة باسم “CiscoSparkLauncher.dll”

تقنيات التحميل الجانبي (DLL Sideloading)

يتم استغلال الملف التنفيذي الشرعي لتحميل DLL خبيثة، وهي بوابة خلفية تتواصل مع بنية تحتية يسيطر عليها المهاجم، مستفيدة من مشروع مفتوح المصدر يُعرف باسم piping-server.

توفر البوابة الخلفية قدرات مثل:

  • تنفيذ أوامر النظام

  • تحميل وتنزيل الملفات

  • استعراض محتوى المجلدات

  • إنشاء وحذف العمليات

  • إدارة الخدمات

  • إنهاء ذاتي

وفي نهاية السلسلة، يتم تحميل RAT الرئيسي المعروف باسم MysterySnail.

إصدار جديد: MysteryMonoSnail

رصدت Kaspersky إصدارًا أخف وزنًا من MysterySnail أطلقت عليه اسم MysteryMonoSnail بعد أن اتخذت المؤسسات المستهدفة إجراءات وقائية لمنع الاختراقات.

وقالت الشركة:

“هذا الإصدار لا يحتوي على نفس مجموعة القدرات الموجودة في النسخة الكاملة من MysterySnail RAT، بل يتضمن فقط 13 أمرًا أساسيًا مثل استعراض المجلدات وكتابة الملفات وتشغيل الأوامر وقواقع النظام عن بُعد.”

وسوم
محمد وهبى
محمد وهبى
المقالات: 148

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة