في عالم الأمن السيبراني المتغير باستمرار، تشكل التهديدات المتطورة تحديًا مستمرًا للمؤسسات في جميع أنحاء العالم. مؤخراً، ظهرت تقارير عن استخدام مواقع وهمية تدعي أنها تقدم متصفح جوجل كروم لتوزيع برامج خبيثة، من بينها برنامج وصول عن بعد خبيث يُعرف باسم ValleyRAT. هذا الهجوم يمثل جزءًا من سلسلة هجمات معقدة تشير إلى تحول استراتيجي في استهداف الأدوار الرئيسية داخل المؤسسات.

التفاصيل الدقيقة للهجوم

تم اكتشاف هذا الهجوم لأول مرة في عام 2023، ويُنسب إلى جهة تهديد تُعرف باسم Silver Fox. وقد استهدفت هذه الجهة بشكل رئيسي المناطق الناطقة بالصينية مثل هونغ كونغ وتايوان والبر الرئيسي للصين. وفقًا لتقرير نشره الباحث شموئيل أوزان من Morphisec، فإن هذه الجهة تركز بشكل متزايد على الأدوار الحساسة في المؤسسات، خاصة في أقسام المالية والمحاسبة والمبيعات، مما يشير إلى اهتمام استراتيجي بالمراكز ذات القيمة العالية التي تتمتع بإمكانية الوصول إلى بيانات وأنظمة حساسة.

السياق الأمني والتقنيات المستخدمة

تضمنت سلسلات الهجمات الأولية توزيع ValleyRAT إلى جانب عائلات برمجيات خبيثة أخرى مثل Purple Fox وGh0st RAT، والتي استخدمت بشكل واسع من قبل مجموعات قرصنة صينية مختلفة. في الشهر الماضي، تم استخدام مثبتات مزيفة لبرامج شرعية كآلية لتوزيع التروجان عبر محمل DLL يُعرف باسم PNGPlug.

تشبه التتابعات الهجومية الأحدث المرتبطة بـ ValleyRAT استخدام موقع مزيف لجوجل كروم لخداع الأهداف وتحميل أرشيف ZIP يحتوي على ملف تنفيذي (“Setup.exe”). يقوم هذا الملف، عند تنفيذه، بالتحقق من امتلاكه لامتيازات المسؤول ثم تنزيل أربع حمولات إضافية، بما في ذلك ملف تنفيذي شرعي مرتبط بـ Douyin، النسخة الصينية من TikTok، والذي يُستخدم لتحميل DLL خبيث (“tier0.dll”) الذي يطلق بدوره برمجية ValleyRAT الخبيثة.

تحليل وتأثير الهجمات

صُمم ValleyRAT لمراقبة محتوى الشاشة، وتسجيل ضغطات المفاتيح، وإقامة وجود دائم على الجهاز المضيف. كما أنه قادر على بدء اتصالات مع خادم بعيد لانتظار تعليمات إضافية تمكنه من تعداد العمليات، وتنزيل وتنفيذ DLLs وملفات تنفيذية أخرى. استغل المهاجمون ملفات تنفيذية موقعة شرعية كانت عرضة لاختراق ترتيب بحث DLL لحقن الحمولة الخبيثة.

وفي تطور متصل، شاركت Sophos تفاصيل حول هجمات تصيد احتيالي تستخدم مرفقات Scalable Vector Graphics (SVG) لتفادي الكشف وتوزيع برمجيات خبيثة لتسجيل ضغطات المفاتيح مثل Nymeria، أو توجيه المستخدمين إلى صفحات احتيال لسرقة بيانات الاعتماد.

خاتمة ودعوة للنقاش

تبرز هذه التطورات الحاجة الملحة للمؤسسات لتعزيز استراتيجياتها في الأمن السيبراني، وتبني تقنيات دفاعية متقدمة لمواجهة مثل هذه التهديدات المتطورة. كيف يمكن للمؤسسات تحسين دفاعاتها ضد مثل هذه الهجمات؟ نرحب بآرائكم وتعليقاتكم حول هذا الموضوع الحيوي.

للمزيد من المحتوى الحصري، تابعونا على Twitter وLinkedIn.