اكتشف باحثو الأمن السيبراني حملة جديدة تستهدف قطاعات حساسة في الشرق الأوسط، أبرزها القطاع العام وصناعة الطيران، باستخدام فدية رقمية غير موثقة سابقًا تُعرف باسم Charon. وتتميز هذه البرمجية بأساليب إخفاء متطورة عادةً ما ترتبط بمجموعات التهديد المستمر المتقدم (APT)، مما يرفع مستوى خطورتها.
أساليب اختراق متطورة شبيهة بمجموعات التجسس
وفقًا لشركة Trend Micro، يستخدم القائمون على الهجوم تقنيات مثل DLL Side-Loading وحقن العمليات والتفادي المتقن لبرمجيات حماية نقاط النهاية (EDR). هذه الأساليب تشبه هجمات سابقة نفذتها مجموعة Earth Baxia المرتبطة بالصين، والتي استهدفت جهات حكومية في تايوان ومنطقة آسيا والمحيط الهادئ. وقد استغل المهاجمون ملفًا شرعيًا مرتبطًا بالمتصفح (Edge.exe) لتحميل مكتبة خبيثة (msedge.dll) أدت إلى نشر حمولة Charon.
قدرات تخريبية وتعطيل أنظمة الحماية
تمتلك Charon قدرات لتعطيل الخدمات الأمنية، إيقاف العمليات النشطة، وحذف النسخ الاحتياطية ونسخ الظل، مما يقلل بشكل كبير من فرص الاسترداد. كما تعتمد على المعالجة المتعددة والتشفير الجزئي لتسريع عملية قفل الملفات. ومن أبرز ما رُصد أيضًا استخدامها لسائق (Driver) مستخرج من مشروع مفتوح المصدر يعرف بـ Dark-Kill لتعطيل أنظمة الـEDR عبر هجوم BYOVD، لكن الميزة لم تُفعّل أثناء التنفيذ، ما يشير إلى أنها ما زالت قيد التطوير.
هجمات موجهة وملاحظات تقنية
تشير الأدلة إلى أن الحملة لم تكن عشوائية، إذ تضمن خطاب الفدية نصًا مخصصًا يذكر اسم المؤسسة المستهدفة، وهي ممارسة غير شائعة في هجمات الفدية التقليدية. ومع أن هناك تقاطعات تقنية مع Earth Baxia، تؤكد Trend Micro أن الاحتمالات مفتوحة بين ثلاث فرضيات: تورط مباشر للمجموعة، عملية تضليلية لافتعال بصماتها، أو جهة جديدة تبنت تقنيات مشابهة بشكل مستقل.
التقاء بين التكتيكات الاستخباراتية وهجمات الفدية
توضح هذه الحملة كيف باتت مجموعات الفدية تتبنى أساليب متقدمة عادةً ما تُستخدم في عمليات التجسس السيبراني، مما يزيد المخاطر على المؤسسات عبر الجمع بين تقنيات المراوغة المتطورة والتأثير التجاري المباشر لتشفير البيانات. وتأتي هذه التطورات في وقت كشفت فيه شركة eSentire عن حملة أخرى مرتبطة ببرمجية Interlock اعتمدت على إغراءات ClickFix لإسقاط أبواب خلفية بلغة PHP وNodeJS وسرقة بيانات الاعتماد، قبل التمهيد لهجمات فدية إضافية.
