في تقرير تحليلي شامل أصدرته شركة Outpost24 KrakenLabs السويدية، تم الكشف عن هوية هذا المخترق الصاعد، والذي هرب قبل حوالي 10 سنوات من مدينة خاركوف الأوكرانية ليستقر قرب الساحل الروماني، وفقًا للتقرير.

تفاصيل الثغرات الأمنية المكتشفة

تمت الإشارة إلى اسم “SkorikARI with SkorikARI” كمكتشف للثغرات، وهو اسم مستخدم يُعتقد أنه يعود لـ EncryptHub. وقد تم إصلاح كلا الثغرتين من قبل مايكروسوفت ضمن تحديثات Patch Tuesday الأخيرة:

• CVE-2025-24061 (درجة CVSS: 7.8): ثغرة تجاوز حماية Mark-of-the-Web (MotW) في Windows.

• CVE-2025-24071 (درجة CVSS: 6.5): ثغرة انتحال هوية في مستعرض ملفات ويندوز (File Explorer).

من هو EncryptHub؟ مسيرة مزدوجة بين الاختراق والبرمجة

يُعرف هذا المخترق أيضًا بأسماء مستعارة مثل LARVA-208 وWater Gamayun، وقد تم تسليط الضوء عليه لأول مرة منتصف عام 2024 بعد استخدامه موقع WinRAR مزيف لتوزيع برمجيات خبيثة عبر مستودع GitHub باسم “encrypthub”.

وخلال الأسابيع الأخيرة، نُسب إليه استغلال ثغرة يوم صفر جديدة في Microsoft Management Console (CVE-2025-26633)، والمعروفة باسم MSC EvilTwin، لنشر أدوات سرقة بيانات وأبواب خلفية غير موثقة سابقًا، مثل SilentPrism وDarkWisp.

أكثر من 618 اختراقًا خلال 9 أشهر

تُقدّر شركة PRODAFT أن EncryptHub مسؤول عن اختراق أكثر من 618 هدفًا عالي القيمة في صناعات متعددة خلال الأشهر التسعة الماضية.

وقالت ليديا لوبيز، كبيرة محللي استخبارات التهديدات في Outpost24:

“تشير جميع البيانات التي جمعناها إلى أن هذه الأنشطة نُفذت من قبل شخص واحد، لكن لا يمكننا استبعاد وجود متعاونين.”

كما تم اكتشاف مستخدم آخر يمتلك صلاحيات إدارية في قناة Telegram ستخدم فيها تتبع الإحصائيات، مما يشير إلى احتمال وجود مساعدين دون انتماء جماعي واضح.

ضعف أمني شخصي ساهم في كشف الهوية

تمكّنت Outpost24 من تتبع أنشطة EncryptHub الرقمية من خلال “إصابات ذاتية” نتيجة ضعف في ممارسات الأمان العملياتي، مما كشف عن تفاصيل جديدة تخص البنية التحتية وأدوات الهجوم المستخدمة.

وبحسب التقرير، فقد انتقل هذا الشخص إلى منطقة غير محددة قرب رومانيا، وبدأ تعلم علوم الحاسوب ذاتيًا عبر دورات تدريبية عبر الإنترنت، وسعى للحصول على وظائف في مجال البرمجة. إلا أن جميع أنشطته توقفت فجأة مطلع عام 2022، بالتزامن مع اندلاع الحرب الروسية الأوكرانية، وتُشير الأدلة إلى أنه قد سُجن خلال هذه الفترة.

وبعد إطلاق سراحه، عاد للبحث عن عمل، مقدمًا خدمات تطوير الويب والتطبيقات بشكل حر، لكنها على ما يبدو لم تكن كافية ماديًا، ما دفعه – حسب التقرير – إلى التحول إلى الجريمة الإلكترونية في أوائل عام 2024.

بداياته في الجريمة الإلكترونية: برمجية Fickle Stealer

من أولى أدواته في عالم الجرائم الإلكترونية كانت Fickle Stealer، وهي برمجية خبيثة مبنية بلغة Rust ظهرت أول مرة في تقارير Fortinet خلال يونيو 2024، ويتم توزيعها عبر قنوات متعددة.

وفي مقابلة مع الباحث الأمني g0njxa، قال المخترق إن Fickle “توفر نتائج على الأنظمة التي تفشل فيها أدوات مثل StealC وRhadamantys”، وأنها تتجاوز برامج مكافحة الفيروسات في بيئات الشركات.

كما ذكر أن أداة Fickle تُعتبر جزءًا أساسيًا من منتج آخر يُدعى EncryptRAT.

قالت لوبيز:

“استطعنا ربط Fickle Stealer بهوية EncryptHub، وحتى أن بعض النطاقات المستخدمة تتطابق مع البنية التحتية لأعماله المشروعة كعامل حر.”

استخدام ChatGPT لأغراض هجومية

المثير للانتباه أن EncryptHub استخدم أدوات الذكاء الاصطناعي مثل ChatGPT في تطوير برمجياته الخبيثة، بل وحتى في ترجمة الرسائل الإلكترونية أو كتابة محتوى احتيالي.

وأكدت لوبيز:

“رغم ذكائه التقني، فإن ضعف الأمان العملياتي – مثل إعادة استخدام كلمات المرور وخلط الحياة الشخصية بالأنشطة الإجرامية – كان سببًا رئيسيًا في كشف هويته.”

كيف يعمل البرنامج الضار؟
وفقًا لتقرير شاركه الباحثان الأمنيان دين إيوزفيك وتيم بيك مع موقع The Hacker News، فإن الـ rootkit لديه “القدرة على إخفاء أي ملف أو مفتاح تسجيل أو مهمة تبدأ ببادئة محددة”. ويستهدف البرنامج الضار المستخدمين من خلال التمويه كتنزيلات برمجيات شرعية أو عبر صفحات CAPTCHA مزيفة تُستخدم في عمليات التصيد الاحتيالي.

المناطق المستهدفة:
تركز الحملة بشكل رئيسي على الأفراد الناطقين باللغة الإنجليزية، وخاصة في الولايات المتحدة وكندا وألمانيا والمملكة المتحدة.

تفاصيل الهجوم:
يحمل البرنامج الضار اسم OBSCURE#BAT بسبب بداية الهجوم التي تعتمد على نص batch معقد على نظام Windows، والذي بدوره ينفذ أوامر PowerShell لتفعيل عملية متعددة المراحل تنتهي بنشر الـ rootkit.

تم تحديد طريقتين رئيسيتين للوصول الأولي إلى الضحايا:

1. استراتيجية ClickFix: يتم توجيه المستخدمين إلى صفحة تحقق مزيفة من Cloudflare CAPTCHA.
2. الإعلان عن البرامج الضارة كأدوات شرعية: مثل متصفح Tor، برامج VoIP، وبرامج المراسلة.

آلية العمل:
بغض النظر عن الطريقة المستخدمة، فإن الحمولة الأولية هي أرشيف يحتوي على نص batch، والذي يستدعي أوامر PowerShell لإسقاط نصوص إضافية، وإجراء تعديلات على سجل Windows، وإنشاء مهام مجدولة لضمان الاستمرارية.

وأوضح الباحثون أن “البرنامج الضار يخزن نصوصًا معقدة في سجل Windows ويضمن تنفيذها عبر مهام مجدولة، مما يسمح له بالعمل بشكل خفي في الخلفية”. بالإضافة إلى ذلك، يقوم البرنامج بتعديل مفاتيح سجل النظام لتسجيل برنامج تشغيل مزيف (ACPIx86.sys)، مما يعمق من اختراقه للنظام.

تفاصيل تقنية:
خلال الهجوم، يتم نشر حمولة .NET تستخدم مجموعة من الحيل لتجنب الاكتشاف، بما في ذلك تعقيد تدفق التحكم، تشفير السلاسل، واستخدام أسماء وظائف تحتوي على أحخاص عربية وصينية وأحخاص خاصة.

كما يتم تحميل حمولة أخرى عبر PowerShell تستخدم تعديلات واجهة Antimalware Scan Interface (AMSI) لتجاوز اكتشافات برامج مكافحة الفيروسات.

الـ Rootkit:
الحمولة النهائية مسؤولة عن إسقاط rootkit يعمل في وضع النظام ويُسمى ACPIx86.sys في مجلد C:\Windows\System32\Drivers**، والذي يتم تشغيله كخدمة. كما يتم تسليم rootkit يعمل في وضع المستخدم يُعرف باسم r77 لضمان الاستمرارية على الجهاز وإخفاء الملفات والعمليات ومفاتيح التسجيل التي تطابق النمط ($nya-**).

مراقبة النشاط:
يقوم البرنامج الضار بمراقبة نشاط الحافظة وسجل الأوامر بشكل دوري وحفظها في ملفات مخفية، مما يشير إلى احتمال تسريب هذه البيانات.

كلمة أخيرة:
قال الباحثون: “يُظهر OBSCURE#BAT سلسلة هجوم عالية التخفي، تعتمد على التعقيد والتقنيات الخفية وربط واجهات برمجة التطبيقات (API) لضمان الاستمرارية على الأنظمة المخترقة مع تجنب الاكتشاف”.

خلفية الأحداث:
تأتي هذه الاكتشافات في وقت كشفت فيه Cofense عن حملة تزوير لـ Microsoft Copilot تستخدم رسائل التصيد الاحتيالي لتوجيه المستخدمين إلى صفحة وهمية مصممة لجمع بيانات الاعتماد ورموز المصادقة الثنائية (2FA).

🔹 وفقًا لتقرير جديد صادر عن Check Point، فإن المهاجمين قاموا عمدًا بإنشاء عدة إصدارات معدلة من الإصدار 2.0.2 من برنامج التشغيل Truesight.sys، مع تغيير أجزاء معينة من الملف التنفيذي (PE) للحفاظ على التوقيع الرقمي سليمًا وتفادي الاكتشاف.

آلية الهجوم: هجوم BYOVD

🛑 تعتمد هذه الحملة على تقنية “أحضر برنامج التشغيل الضعيف الخاص بك” (BYOVD)، حيث يتم استخدام إصدارات قديمة غير آمنة من برنامج التشغيل لتنفيذ عمليات ضارة تشمل:
✔ تعطيل برامج كشف التهديدات والاستجابة (EDR)
✔ تحميل Gh0st RAT على الأنظمة المستهدفة

🔹 تم تحديد ما لا يقل عن 2,500 إصدارًا مختلفًا من الإصدار القديم 2.0.2 من برنامج تشغيل RogueKiller Antirootkit عبر منصة VirusTotal، ومن المرجح أن يكون العدد الفعلي أعلى من ذلك.
🔹 تم اكتشاف وحدة قتل EDR لأول مرة في يونيو 2024.

ثغرة أمنية خطيرة في Truesight.sys

📌 يعاني برنامج تشغيل Truesight من ثغرة إنهاء العمليات العشوائية، مما يسمح للمهاجمين بإنهاء أي عملية على النظام، بما في ذلك برامج الحماية والأمان.
📌 تم استغلال هذه الثغرة سابقًا في إثباتات المفهوم (PoC) مثل Darkside و TrueSightKiller، المتاحة علنًا منذ نوفمبر 2023.

ارتباط الحملة بمجموعة Silver Fox APT

📌 تشير بعض الأدلة إلى أن هذه الحملة قد تكون من تنفيذ مجموعة Silver Fox APT، نظرًا للتشابه في آلية التنفيذ، بما في ذلك:
✔ أسلوب نشر الهجوم
✔ التسلسل الزمني للعدوى
✔ أوجه التشابه في البرمجيات الخبيثة المستخدمة

📍 تشير البيانات إلى أن 75% من الضحايا في الصين، بينما تتركز بقية الأهداف في سنغافورة وتايوان.

طريقة استهداف الضحايا

📌 يتم توزيع البرمجيات الخبيثة عبر مواقع احتيالية تعرض عروضًا مزيفة على المنتجات الفاخرة، بالإضافة إلى قنوات احتيالية عبر تطبيقات المراسلة مثل Telegram.
📌 يتم إخفاء البرامج الضارة في ملفات تبدو كملفات عادية مثل PNG و JPG و GIF، وعند تحميلها، يتم تنزيل الحمولة التالية، التي تحتوي على:
✔ برنامج تشغيل Truesight.sys الضعيف
✔ البرمجية الخبيثة Gh0st RAT

كيف يتجاوز الهجوم آليات الأمان؟

✅ يتم دمج وحدة قتل EDR/AV مباشرة في الحملة، لكنها قادرة أيضًا على العمل بشكل مستقل حتى لو لم يكن برنامج التشغيل Truesight مثبتًا مسبقًا.
✅ يستخدم الهجوم تقنية BYOVD لاستغلال برنامج التشغيل وإيقاف عمليات الأمن السيبراني، مما يسمح بتجاوز قائمة حظر برامج التشغيل الضعيفة من Microsoft، والتي تعتمد على قيم التجزئة (hash values) لاكتشاف برامج التشغيل غير الآمنة.

نشر HiddenGh0st RAT: السيطرة الكاملة على النظام

📌 يتم في المرحلة الأخيرة نشر إصدار جديد من Gh0st RAT يُعرف باسم HiddenGh0st، والذي يمنح المهاجمين:
✔ التحكم عن بُعد في الأنظمة المصابة
✔ إمكانية التجسس وسرقة البيانات
✔ التلاعب بالنظام وتنفيذ أوامر خبيثة

تحديثات Microsoft لمكافحة الهجوم

📢 اعتبارًا من 17 ديسمبر 2024، قامت Microsoft بتحديث قائمة حظر برامج التشغيل لإدراج Truesight.sys، مما يمنع استغلاله في المستقبل.

🔹 لكن Check Point حذرت من أن المهاجمين نجحوا في تعديل أجزاء معينة من برنامج التشغيل مع الحفاظ على التوقيع الرقمي، مما سمح لهم بتجاوز آليات الكشف، مثل Microsoft Vulnerable Driver Blocklist و LOLDrivers، لعدة أشهر.

🔹 استغلال ثغرة إنهاء العمليات العشوائية مكّن المهاجمين من إيقاف برامج الحماية الشائعة، مما عزز التخفي وسهّل استمرار الحملة لفترات طويلة.

🚨 الاستنتاج:
تشير هذه الهجمات إلى تصاعد استغلال برامج التشغيل الضعيفة لتجاوز أنظمة الحماية. على المؤسسات والمستخدمين اتخاذ تدابير أمنية إضافية مثل:
🔹 تحديث أنظمة التشغيل وبرامج الحماية بانتظام
🔹 استخدام قوائم الحظر لمراقبة تشغيل برامج التشغيل
🔹 التحقق من المصادر الرسمية قبل تنزيل البرامج

✋ البقاء يقظًا هو أفضل وسيلة للحماية ضد مثل هذه التهديدات المتقدمة.