تم ربط مجموعة التهديد المعروفة باسم Dark Caracal بحملة إلكترونية استخدمت فيها حصان طروادة للوصول عن بُعد يُدعى Poco RAT لاستهداف أهداف ناطقة بالإسبانية في أمريكا اللاتينية خلال عام 2024.
جاءت هذه النتائج من شركة الأمن السيبراني الروسية Positive Technologies، التي وصفت البرمجية الخبيثة بأنها مزودة بـ”مجموعة كاملة من أدوات التجسس”.
وقال الباحثان دينيس كازاكوف وسيرجي ساموخين في تقرير تقني نُشر الأسبوع الماضي: “يمكن للبرمجية تحميل الملفات، التقاط لقطات الشاشة، تنفيذ الأوامر، والتلاعب بعمليات النظام”.
سبق أن تم توثيق Poco RAT من قبل شركة Cofense في يوليو 2024، حيث كشفت عن هجمات التصيد التي استهدفت قطاعات التعدين، التصنيع، الضيافة، والمرافق. تتميز سلاسل العدوى باستخدام طعوم مالية تبدأ عملية متعددة الخطوات لنشر البرمجية الخبيثة.
ارتباط الحملة بـ Dark Caracal
على الرغم من عدم ربط الحملة بأي تهديد معين في ذلك الوقت، أفادت Positive Technologies بأنها حددت أوجه تشابه في الأساليب مع Dark Caracal، وهي مجموعة تهديدات متقدمة مستمرة (APT) معروفة بتشغيل عائلات برمجيات خبيثة مثل CrossRAT وBandook. تعمل هذه المجموعة منذ عام 2012 على الأقل.
في عام 2021، تم ربط المجموعة الإلكترونية المرتزقة بحملة تجسس إلكتروني أُطلق عليها اسم Bandidos، والتي قامت بتوزيع نسخة محدثة من برمجية Bandook الخبيثة ضد دول ناطقة بالإسبانية في أمريكا اللاتينية.
تفاصيل الهجمات الأخيرة
تركز الهجمات الأخيرة على المستخدمين الناطقين بالإسبانية، حيث تستغل رسائل التصيد الإلكتروني ذات الطابع المالي مع مرفقات ضارة مكتوبة بالإسبانية كنقطة بداية. تشير تحليلات آثار Poco RAT إلى أن الاختراقات تستهدف بشكل رئيسي الشركات في فنزويلا، تشيلي، جمهورية الدومينيكان، كولومبيا، والإكوادور.
تقوم المستندات المرفقة المزيفة بتقليد مجموعة واسعة من القطاعات الصناعية، بما في ذلك البنوك، التصنيع، الرعاية الصحية، الأدوية، والخدمات اللوجستية، في محاولة لإضفاء المزيد من المصداقية على الخدعة.
عند فتحها، تقوم الملفات بإعادة توجيه الضحايا إلى رابط يؤدي إلى تنزيل أرشيف بامتداد .rev من خدمات مشاركة الملفات المشروعة أو منصات التخزين السحابي مثل Google Drive وDropbox.
وأوضح الباحثون: “يتم إنشاء الملفات ذات الامتداد .rev باستخدام WinRAR، وكانت مصممة في الأصل لإعادة بناء الأجزاء المفقودة أو التالفة في الأرشيفات متعددة الأجزاء. يعيد مجرمو الإنترنت استخدامها كحاويات خفية للحملات الخبيثة، مما يساعد البرمجيات الخبيثة على التهرب من الكشف الأمني”.
آلية عمل Poco RAT
يحتوي الأرشيف على برنامج إسقاط (dropper) يعتمد على لغة Delphi، وهو المسؤول عن تشغيل Poco RAT، الذي بدوره يتصل بخادم بعيد ويمنح المهاجمين تحكمًا كاملاً في الأجهزة المخترقة. تحصل البرمجية الخبيثة على اسمها من استخدام مكتبات POCO في قاعدة كودها المكتوبة بلغة C++.
أوامر مدعومة من Poco RAT
من بين الأوامر التي تدعمها Poco RAT:
- T-01: إرسال بيانات النظام المجمعة إلى خادم التحكم والسيطرة (C2).
- T-02: استرداد وإرسال عنوان النافذة النشطة إلى خادم C2.
- T-03: تنزيل وتشغيل ملف تنفيذي.
- T-04: تنزيل ملف إلى الجهاز المخترق.
- T-05: التقاط لقطة شاشة وإرسالها إلى خادم C2.
- T-06: تنفيذ أمر في cmd.exe وإرسال الناتج إلى خادم C2.
وأضاف الباحثون: “لا تأتي Poco RAT مع آلية استمرارية مدمجة. بمجرد اكتمال المرحلة الأولية من الاستطلاع، يُرجح أن يصدر الخادم أمرًا لإنشاء استمرارية، أو قد يستخدم المهاجمون Poco RAT كنقطة انطلاق لنشر الحمولة الرئيسية”.
