في تطور جديد في مشهد التهديدات السيبرانية، لوحظ أن مجموعة التهديدات المدعومة من الدولة الصينية والمعروفة باسم “موستانج باندا” تتبنى تقنية مبتكرة لتفادي الكشف والحفاظ على السيطرة على الأنظمة المصابة. تعتمد هذه التقنية على استخدام أداة شرعية من مايكروسوفت تُعرف باسم مايكروسوفت أبليكيشن فيرتشوالايزيشن إنجيكتور (MAVInject.exe) لحقن الحمولة الضارة في عملية خارجية تُسمى waitfor.exe عند اكتشاف تشغيل تطبيق ESET لمكافحة الفيروسات.

تحليل عميق للهجوم

وفقًا لتحليل جديد من شركة تريند مايكرو، فإن الهجوم يتضمن إسقاط ملفات متعددة، بما في ذلك ملفات تنفيذية شرعية ومكونات ضارة، بالإضافة إلى نشر ملف PDF مخادع لإلهاء الضحية. تم الإشارة إلى أن مجموعة “إيرث بريتا” تستغل أداة Setup Factory، وهي أداة إنشاء برامج تثبيت لنظام ويندوز، لإسقاط وتنفيذ الحمولة. هذا يمكّنهم من تجنب الكشف والحفاظ على الاتصالات الدائمة في الأنظمة المخترقة.

الأهداف المستهدفة وأهمية القطاع

يبدأ تسلسل الهجوم بملف تنفيذي (“IRSetup.exe”) يقوم بإسقاط عدة ملفات، بما في ذلك مستند إغراء مصمم لاستهداف المستخدمين في تايلاند. تشير هذه التفاصيل إلى احتمال أن تكون الهجمات قد اعتمدت على رسائل spear-phishing الإلكترونية لاستهداف الضحايا.

يمضي الملف الثنائي في تنفيذ تطبيق إلكتروني شرعي من شركة إلكترونيك آرتس (“OriginLegacyCLI.exe”) لتحميل مكتبة ديناميكية ضارة باسم “EACore.dll”، وهي نسخة معدلة من برنامج الخبيثة المدعو TONESHELL الذي يُعزى إلى مجموعة القرصنة.

الدلالات الأمنية والتحديات

تتمثل وظيفة البرنامج الخبيث الأساسية في التحقق مما إذا كانت عمليتان مرتبطتان بتطبيقات مكافحة الفيروسات من ESET — “ekrn.exe” أو “egui.exe” — تعملان على النظام المخترق، وإذا كان الأمر كذلك، يتم تشغيل “waitfor.exe” ثم استخدام “MAVInject.exe” لتشغيل البرمجيات الخبيثة دون أن يتم كشفها.

يشرح الباحثون أن “MAVInject.exe”، الذي يمكنه تنفيذ أكواد ضارة عبر حقنها في عملية جارية كوسيلة لتجاوز اكتشاف ESET، يُستخدم لحقن الكود الضار.

اتجاهات حديثة وإجراءات الحماية

في النهاية، يقوم البرنامج الخبيث بفك تشفير الشيل كود المدمج الذي يسمح له بإقامة اتصالات مع خادم بعيد (“www.militarytc[.]com:443”) لتلقي الأوامر لإنشاء شيل عكسي، ونقل الملفات، وحذف الملفات. يتم تحميل النسخة المعدلة من TONESHELL مع تطبيق شرعي من إلكترونيك آرتس وتواصل مع خادم القيادة والتحكم لاستخراج البيانات.

التفاعل والمناقشة

في ضوء هذه التطورات المتسارعة في تقنيات الهجوم السيبراني، ما هي الاستراتيجيات التي يمكن للمؤسسات تبنيها لتعزيز دفاعاتها ضد مثل هذه التهديدات المتقدمة؟ نود أن نسمع آراءكم وأفكاركم حول هذا الموضوع عبر منصاتنا على فيسبوك وإكس.