آلية عمل CoffeeLoader الخبيثة

قال بريت ستون-جروس، المدير الأول لاستخبارات التهديدات في Zscaler: “الغرض من هذا البرنامج الضار هو تنزيل وتنفيذ حمولات المرحلة الثانية مع تفادي اكتشافه بواسطة منتجات الأمان المستندة إلى نقاط النهاية”.

التقنيات المتقدمة للتهرب من الاكتشاف:

• حزمة Armoury المتخصصة التي تستخدم وحدة معالجة الرسومات (GPU)
• تزيف سجل المكالمات (Call stack spoofing)
• إرباك فترات السكون (Sleep obfuscation)
• استخدام ألياف ويندوز (Windows fibers)

التفاصيل التقنية للهجوم

ظهر CoffeeLoader لأول مرة حوالي سبتمبر 2024، ويستخدم خوارزمية توليد نطاقات (DGA) كآلية احتياطية في حالة تعذر الوصول إلى قنوات القيادة والتحكم (C2) الرئيسية.

حزمة Armoury الأساسية:

• تنفذ التعليمات البرمجية على GPU النظام لتعقيد التحليل في البيئات الافتراضية
• تحاكي الأداة الشرعية Armoury Crate المطورة من قبل ASUS

مراحل العدوى:

1. برنامج الإسقاط (Dropper) يحاول تنفيذ حمولة DLL مع امتيازات مرتفعة
2. محاولة تجاوز تحكم حساب المستخدم (UAC) إذا لزم الأمر
3. إنشاء مهمة مجدولة للاستمرارية (تشتغل عند تسجيل الدخول أو كل 10 دقائق)
4. تنفيذ مكون Stager الذي يحمل الوحدة الرئيسية

تقنيات التخفي المتقدمة

تستخدم الوحدة الرئيسية تقنيات متطورة لتفادي الاكتشاف من قبل:

• برامج مكافحة الفيروسات (AV)
• أنظمة اكتشاف الاستجابة لنقاط النهاية (EDRs)

هذه التقنيات تمكن البرنامج الخبيث من:

• تزيف سجل المكالمات لإخفاء أصل استدعاء الوظيفة
• إرباك الحمولة أثناء حالة السكون
• تجنب الاكتشاف بواسطة البرامج الأمنية

الهدف النهائي

يتصل CoffeeLoader بخادم C2 عبر HTTPS للحصول على برنامج ضار للمرحلة التالية، بما في ذلك أوامر لحقن وتنفيذ شل كود Rhadamanthys.

الصلة مع SmokeLoader

حددت Zscaler العديد من أوجه التشابه بين CoffeeLoader وSmokeLoader على مستوى الكود المصدري، مما يثير احتمال أن يكون CoffeeLoader التكرار الرئيسي التالي لـSmokeLoader، خاصة بعد الجهود التي بذلتها إنفاذ القانون العام الماضي والتي أسقطت بنيته التحتية.

حملات ضارة ذات صلة

كشفت Seqrite Labs عن حملة تصيد احتيالي تبدأ سلسلة عدوى متعددة المراحل تقوم بإسقاط برنامج خبيث لسرقة المعلومات يُدعى Snake Keylogger.

كما تم رصد نشاط آخر يستهدف مستخدمي تداول العملات المشفرة عبر منشورات Reddit التي تروج لإصدارات مخترقة من TradingView لخداع المستخدمين لتركيب برامج سرقة مثل Lumma وAtomic على أنظمة Windows وmacOS.

تفاصيل الهجوم

الثغرة المستغلة: CVE-2025-26633
– تُعرف هذه الثغرة بأنها خلل في حيادية مدخلات البيانات داخل إطار عمل Microsoft Management Console (MMC) .
– يُمكن للمهاجمين استغلالها لتجاوز ميزات الحماية المحلية.
– تم إصلاح هذه الثغرة بواسطة شركة مايكروسوفت في تحديث Patch Tuesday لهذا الشهر.

طريقة استغلال الثغرة
– أطلقت شركة Trend Micro اسم MSC EvilTwin على طريقة استغلال الثغرة.
– يتم إنشاء ملفين بنفس الاسم داخل نفس الموقع، أحدهما نظيف والآخر خبيث في دليل فرعي باسم “en-US”.
– عندما يتم تشغيل الملف النظيف، يختار MMC الملف الخبيث بدلاً منه وينفذه دون علم الضحية.

التكتيكات التي استخدمها EncryptHub

1. تنزيل وتشغيل البرمجيات الضارة باستخدام ExecuteShellCommand:
– يتم تنزيل حمولة ضارة على جهاز الضحية ثم تنفيذها.
– تم توثيق هذه الطريقة من قبل شركة Outflank في أغسطس 2024.

2. استخدام أدلة مزيفة موثوقة:
– يتم إنشاء دليل وهمي يبدو موثوقًا مثل “C:\Windows \System32” (لاحظ المسافة بعد كلمة Windows) لتجاوز التحكم في حساب المستخدم (UAC).
– يتم إسقاط ملف ضار يُدعى “WmiMgmt.msc”.

أساليب توزيع الحمولة

بداية الهجوم
– غالبًا ما تبدأ السلاسل الهجومية بتنزيل ملفات تثبيت MSI موقعة رقميًا تُحاكي برامج صينية شرعية مثل DingTalk أو QQTalk .
– تُستخدم هذه الملفات لجلب وتشغيل البرمجيات الخبيثة من خادم بعيد.

التقنيات المستخدمة
– تعتمد الحملة على وسائل متعددة لتوصيل الحمولة الضارة، مع تخصيصها لضمان الاستمرارية وسرقة البيانات الحساسة.
– يتم إرسال البيانات إلى خوادم التحكم والقيادة (C&C) للمهاجمين.

تأثيرات الهجوم

ما الذي يجعل هذه الحملة خطيرة؟
– تستخدم برمجيات معدة خصيصًا للحفاظ على وجودها في الأنظمة المصابة.
– تعتمد على تقنيات معقدة لجمع البيانات الحساسة وتصعيد الوصول داخل الشبكات.

الملاحظات حول تطوير الهجوم
– يُظهر تحليل Trend Micro أن الحملة تحت التطوير النشط منذ أبريل 2024، مع تجربة مستمرة لطرق جديدة لتحقيق الأهداف.