في عالم الأمن السيبراني سريع التطور، تظهر حملات جديدة تهدد الأمن الرقمي للدول والمؤسسات. مؤخرًا، كشفت فرق التحقيق عن حملة جديدة تستهدف وزارة خارجية في إحدى دول أمريكا الجنوبية ببرمجيات خبيثة مخصصة تمنح المهاجمين وصولًا عن بعد للأجهزة المصابة.

تحليل معمق وسياق تاريخي

تم رصد هذه الحملة في نوفمبر 2024 ونسبت إلى مجموعة تهديدات تُعرف بـ (REF7707) حسب تقارير من مختبرات الأمن في Elastic Security Labs. لم تقتصر أهداف هذه الحملة على الوزارة فحسب، بل شملت أيضًا شركة اتصالات وجامعة في جنوب شرق آسيا، مما يزيد من تعقيد وتأثير الحملة.

تتميز حملة (REF7707) بتقنيات اختراق متقدمة وجديدة، رغم أن منفذي الحملة أظهروا ضعفًا في إدارة الحملة وممارسات التهرب من الكشف، وفقًا لتحليل تقني أجراه الباحثان أندرو بيز وسيث جيدوين. هذا يعني أن المهاجمين قد يفتقرون إلى الخبرة في بعض جوانب العمليات الإلكترونية، مما قد يتيح فرصة للكشف المبكر عنهم.

التهديدات الأمنية وتفاصيل التقنية

لم يتضح بعد كيفية الوصول الأولي المستخدم في هذه الهجمات، لكن تم ملاحظة استخدام تطبيق (certutil) من مايكروسوفت لتحميل حمولة إضافية من خادم ويب مرتبط بوزارة الخارجية. وقد تم تنفيذ أوامر (certutil) عبر مكون (WinrsHost.exe) في نظام إدارة النوافذ عن بُعد، مما يشير إلى أن المهاجمين يمتلكون بالفعل بيانات اعتماد شبكة صالحة، ويستخدمونها للحركة الجانبية من مضيف كان قد تم اختراقه سابقًا.

الملف الأول الذي يتم تنفيذه هو البرمجية الخبيثة (PATHLOADER) التي تسمح بتنفيذ الشيفرة المشفرة المستلمة من خادم خارجي. يتم حقن الشيفرة، المسماة (FINALDRAFT)، في الذاكرة الخاصة بعملية جديدة تدعى “mspaint.exe”.

كتبت (FINALDRAFT) بلغة C++ وهي أداة إدارة عن بعد مكتملة الميزات، مزودة بالقدرة على تنفيذ وحدات إضافية فورًا، وتستغل خدمة البريد الإلكتروني (Outlook) عبر (Microsoft Graph API) لأغراض القيادة والسيطرة (C2).

التداعيات الأمنية والمخاطر المحتملة

آلية الاتصال تشمل تحليل الأوامر المخزنة في مجلد المسودات في صندوق البريد الإلكتروني وكتابة نتائج التنفيذ في مسودات جديدة لكل أمر. تم تجهيز (FINALDRAFT) بـ 37 معالجًا للأوامر مصممة حول حقن العمليات، معالجة الملفات، وقدرات البروكسي الشبكي.

كما أنها مصممة لبدء عمليات جديدة باستخدام تجزئات NTLM المسروقة وتنفيذ أوامر (PowerShell) بطرق لا تستدعي تنفيذ الملف الثنائي “powershell.exe” بشكل مباشر. بدلاً من ذلك، تقوم بترقيع عدة واجهات برمجية لتجنب تتبع الأحداث لنظام التشغيل Windows (ETW) وتطلق أداة PowerPick، وهي أداة شرعية جزء من مجموعة أدوات ما بعد الاختراق (Empire).

تشير التحليلات إلى وجود نسخة من (FINALDRAFT) تعمل على نظام Linux، والتي لديها وظائف C2 مشابهة ويمكنها تنفيذ أوامر الشيل عبر (popen) وحذف نفسها من النظام.

يؤكد الباحثون أن “اكتمال الأدوات ومستوى الهندسة المتضمن يشير إلى أن المطورين منظمون بشكل جيد”. ويشيرون إلى أن الإطار الزمني الممتد للعملية والأدلة المستخلصة من بيانات المراقبة لدينا تشير إلى أنها على الأرجح حملة تجسس.

دعوة للنقاش

ما هي الإجراءات التي يمكن للدول اتخاذها لتعزيز أمنها السيبراني في مواجهة هذه التهديدات المتطورة؟ نود سماع آرائكم واقتراحاتكم حول هذا الموضوع. تابعونا على X (تويتر) وفيسبوك لمزيد من المحتوى الحصري.