في تطور خطير على ساحة الأمن السيبراني، أعلن صائدو التهديدات عن حملة تصيد احتيالي جديدة تستهدف عدد قليل من الكيانات في الإمارات العربية المتحدة، من خلال استخدام باب خلفي غير موثق سابقًا مكتوب بلغة البرمجة (Golang) والمعروف باسم “سوسانو”.
تحليل مفصل وسياق الحادثة
تم توجيه الأنشطة الخبيثة بشكل خاص ضد شركات الطيران والاتصالات عبر الأقمار الصناعية، حسبما أفادت شركة (Proofpoint) المتخصصة في أمن المؤسسات، التي اكتشفت الحادثة في أواخر أكتوبر 2024. تتبع الشركة هذا التجمع الناشئ تحت اسم (UNK_CraftyCamel).
ما يميز سلسلة الهجوم أن المهاجم استغل الوصول إلى حساب بريد إلكتروني مخترق تابع لشركة إلكترونيات هندية تدعى (INDIC Electronics) لإرسال رسائل تصيد احتيالي. كانت هذه الشركة في علاقة عمل موثوقة مع جميع الأهداف، مما جعل الطعوم مخصصة لكل منها.
وذكرت (Proofpoint) في تقريرها المشترك مع (The Hacker News) أن “UNK_CraftyCamel استغلت شركة إلكترونيات هندية مخترقة لاستهداف أقل من خمس مؤسسات في الإمارات العربية المتحدة بملف (ZIP) خبيث استخدم ملفات متعددة (polyglot) لتثبيت باب خلفي مخصص مكتوب بلغة (Go) ويسمى “سوسانو”.
احتوت الرسائل الإلكترونية على روابط تشير إلى نطاق وهمي يتظاهر بأنه تابع للشركة الهندية (“indicelectronics[.]net”)، يستضيف أرشيف (ZIP) يتضمن ملف (XLS) وملفين (PDF).
آلية الهجوم وتفاصيله التقنية
في الواقع، كان ملف (XLS) عبارة عن اختصار لـ (Windows) يستخدم امتداد مزدوج ليبدو وكأنه مستند (Microsoft Excel). أما الملفان (PDF) فكانا ملفين (polyglots): أحدهما مرفق بملف تطبيق (HTML) (HTA) والآخر مع أرشيف (ZIP) مرفق به.
يعني ذلك أن كلا الملفين (PDF) يمكن تفسيرهما كصيغتين صالحتين اعتمادًا على كيفية تحليلها باستخدام برامج مثل مستكشف الملفات أو أدوات سطر الأوامر أو المتصفحات.
تتضمن سلسلة الهجوم التي حللتها (Proofpoint) استخدام ملف (LNK) لتشغيل (cmd.exe) ثم استخدام (mshta.exe) لتشغيل ملف (PDF/HTA) المدمج، مما يؤدي إلى تنفيذ سكريبت (HTA) الذي يحتوي على تعليمات لفك محتويات أرشيف (ZIP) الموجود داخل الملف (PDF) الثاني.
أحد الملفات في الملف (PDF) الثاني هو ملف اختصار إنترنت (URL) مسؤول عن تحميل ملف ثنائي، والذي يبحث بعد ذلك عن ملف صورة يتم تشفيره باستخدام السلسلة “234567890abcdef” لتشغيل الباب الخلفي (DLL) المسمى “سوسانو”.
تداعيات الأمن السيبراني وتحدياته
يتمتع الزرع المكتوب بلغة (Golang) بوظائف محدودة لإنشاء اتصال مع خادم التحكم والسيطرة (C2) وانتظار الأوامر الإضافية، مثل:
- سوسانو: للحصول على الدليل الحالي أو تغيير دليل العمل.
- يانجوم: لتعداد محتويات الدليل الحالي.
- مونداي: لتنزيل وإطلاق حزمة تحميل غير معروفة للمرحلة التالية.
- رايان: لحذف أو إزالة دليل.
- لونا: لتنفيذ أمر شل.
أشارت (Proofpoint) إلى أن الأساليب المستخدمة من قبل (UNK_CraftyCamel) لا تتداخل مع أي جهة تهديد معروفة أخرى.
قال جوشوا ميلر، الباحث في الأمن السيبراني لدى (Proofpoint)، لـ (The Hacker News): “تشير تحليلاتنا إلى أن هذه الحملة قد تكون عملاً لمهاجمين متحالفين مع إيران، ربما مرتبطين بالحرس الثوري الإيراني (IRGC). إن القطاعات المستهدفة حيوية للاستقرار الاقتصادي والأمن الوطني، مما يجعلها أهدافًا استخباراتية قيمة في المشهد الجيوسياسي الأوسع”.
هذه الحملة الصغيرة الحجم والموجهة بدقة استخدمت تقنيات إخفاء متعددة مع استغلال طرف ثالث موثوق به لاستهداف الطيران والاتصالات عبر الأقمار الصناعية والبنية التحتية للنقل الحيوي في الإمارات العربية المتحدة. إنها تُظهر مدى استعداد الجهات الفاعلة المرتبطة بالدولة للذهاب لتجنب الاكتشاف وتنفيذ مهام جمع المعلومات الاستخباراتية بنجاح.
هل تعتقد أن هذه الحملة تشكل تهديدًا أكبر على المستوى الإقليمي أم العالمي؟ شاركنا رأيك على تويتر وفيسبوك باستخدام الهاشتاج #CyberThreats
شاركنا رأيك بتعليق