في الآونة الأخيرة، رُصدت حملة برمجيات خبيثة تستغل ثغرات في البنية التحتية السحابية لنشر حصان طروادة للتحكم عن بعد المعروف باسم (AsyncRAT). تعتمد هذه الحملة على حمولة مكتوبة بلغة بايثون وأنفاق (TryCloudflare) لتمكين التحكم الخفي في الأنظمة المصابة.
التحليل والتفاصيل التقنية للحملة
يُعرف (AsyncRAT) بأنه حصان طروادة للتحكم عن بعد يستغل نمط البرمجة (async/await) للتواصل غير المتزامن بكفاءة. وفقًا لتحليل الباحثة جيوتيكا سينغ من مختبرات (Forcepoint X-Labs)، يُمكّن هذا البرمجيات الخبيثة المهاجمين من السيطرة على الأنظمة المصابة بشكل خفي، وسرقة البيانات وتنفيذ الأوامر دون الكشف عنها، مما يجعله تهديدًا كبيرًا للأمن الإلكتروني.
تبدأ سلسلة الهجوم متعددة المراحل برسالة تصيد إلكتروني تحتوي على رابط (Dropbox) الذي عند النقر عليه، يقوم بتنزيل ملف (ZIP) أرشيفي. يحتوي هذا الملف على رابط اختصار للإنترنت (URL) يعمل كجسر لملف اختصار (LNK) لنظام ويندوز، الذي يستمر في تقدم العدوى، بينما يتم عرض وثيقة (PDF) خداعية للمستلم.
يُسترجع ملف (LNK) عبر عنوان (TryCloudflare) URL المدرج داخل ملف (URL). يتميز (TryCloudflare) بخدمة شرعية توفرها (Cloudflare) لعرض خوادم الويب على الإنترنت دون فتح أي منافذ عبر إنشاء قناة مخصصة (أي نطاق فرعي على trycloudflare[.]com) لتحويل حركة المرور إلى الخادم.
يقوم ملف (LNK) بتشغيل (PowerShell) لتنفيذ كود (JavaScript) مستضاف في نفس الموقع، والذي بدوره يقود إلى سكريبت دفعات (BAT) قادر على تنزيل ملف (ZIP) أرشيفي آخر. يحتوي الملف الأرشيفي الجديد على حمولة بايثون مصممة لإطلاق وتشغيل عدة عائلات من البرمجيات الخبيثة، مثل (AsyncRAT)، و(Venom RAT)، و(XWorm).
الآثار والتهديدات الأمنية
تظهر الحملة الحالية مرة أخرى كيف يمكن للمخترقين استخدام البنى التحتية الشرعية مثل روابط (Dropbox) وأنفاق (TryCloudflare) لصالحهم. يتم تنزيل الحمولات عبر روابط (Dropbox) وأنفاق (TryCloudflare) المؤقتة، مما يخدع المستلمين للاعتقاد بشرعيتها.
تأتي هذه التطورات في ظل تزايد حملات التصيد الإلكتروني التي تستخدم أدوات (Phishing-as-a-Service) لاختراق الحسابات عبر توجيه المستخدمين إلى صفحات هبوط وهمية تحاكي صفحات تسجيل الدخول لمنصات موثوقة مثل مايكروسوفت، وجوجل، وآبل، و(جيتهب).
تطورات هامة في مجال الأمن السيبراني
بحسب الأبحاث الحديثة من (CloudSEK)، يُمكن استغلال بنية (Zendesk) لتسهيل الهجمات التصيدية والاحتيال الاستثماري. تسمح (Zendesk) للمستخدمين بالتسجيل في تجربة مجانية لمنصتها (SaaS)، مما يتيح تسجيل نطاق فرعي يمكن استغلاله لانتحال هوية الهدف.
يمكن للمهاجمين استخدام هذه النطاقات الفرعية لإرسال رسائل تصيد إلكتروني عن طريق إضافة عناوين البريد الإلكتروني للضحايا كـ”مستخدمين” في بوابة (Zendesk).
دعوة للنقاش
ما هي الإجراءات التي يمكن اتخاذها لتقليل الاعتماد على البنى التحتية الشرعية في الهجمات السيبرانية؟ وكيف يمكن تعزيز الوعي الأمني لدى المستخدمين للحد من نجاح مثل هذه الهجمات؟
شاركنا رأيك بتعليق