تفاصيل الهجوم

الثغرة المستغلة: CVE-2025-26633
– تُعرف هذه الثغرة بأنها خلل في حيادية مدخلات البيانات داخل إطار عمل Microsoft Management Console (MMC) .
– يُمكن للمهاجمين استغلالها لتجاوز ميزات الحماية المحلية.
– تم إصلاح هذه الثغرة بواسطة شركة مايكروسوفت في تحديث Patch Tuesday لهذا الشهر.

طريقة استغلال الثغرة
– أطلقت شركة Trend Micro اسم MSC EvilTwin على طريقة استغلال الثغرة.
– يتم إنشاء ملفين بنفس الاسم داخل نفس الموقع، أحدهما نظيف والآخر خبيث في دليل فرعي باسم “en-US”.
– عندما يتم تشغيل الملف النظيف، يختار MMC الملف الخبيث بدلاً منه وينفذه دون علم الضحية.

التكتيكات التي استخدمها EncryptHub

1. تنزيل وتشغيل البرمجيات الضارة باستخدام ExecuteShellCommand:
– يتم تنزيل حمولة ضارة على جهاز الضحية ثم تنفيذها.
– تم توثيق هذه الطريقة من قبل شركة Outflank في أغسطس 2024.

2. استخدام أدلة مزيفة موثوقة:
– يتم إنشاء دليل وهمي يبدو موثوقًا مثل “C:\Windows \System32” (لاحظ المسافة بعد كلمة Windows) لتجاوز التحكم في حساب المستخدم (UAC).
– يتم إسقاط ملف ضار يُدعى “WmiMgmt.msc”.

أساليب توزيع الحمولة

بداية الهجوم
– غالبًا ما تبدأ السلاسل الهجومية بتنزيل ملفات تثبيت MSI موقعة رقميًا تُحاكي برامج صينية شرعية مثل DingTalk أو QQTalk .
– تُستخدم هذه الملفات لجلب وتشغيل البرمجيات الخبيثة من خادم بعيد.

التقنيات المستخدمة
– تعتمد الحملة على وسائل متعددة لتوصيل الحمولة الضارة، مع تخصيصها لضمان الاستمرارية وسرقة البيانات الحساسة.
– يتم إرسال البيانات إلى خوادم التحكم والقيادة (C&C) للمهاجمين.

تأثيرات الهجوم

ما الذي يجعل هذه الحملة خطيرة؟
– تستخدم برمجيات معدة خصيصًا للحفاظ على وجودها في الأنظمة المصابة.
– تعتمد على تقنيات معقدة لجمع البيانات الحساسة وتصعيد الوصول داخل الشبكات.

الملاحظات حول تطوير الهجوم
– يُظهر تحليل Trend Micro أن الحملة تحت التطوير النشط منذ أبريل 2024، مع تجربة مستمرة لطرق جديدة لتحقيق الأهداف.