🚧 Cybrat is a sub-brand of SySOC s.r.o. and is currently in beta phase
🚧 سيبرات علامة فرعية مملوكة لشركة سيسوك وتعمل حالياً ضمن المرحلة التجريبية

CYBRAT

ســيــبــرات

لأن الأمان يبدأ بالمعلومة

,

الحملة الخبيثة: كيف تستهدف برمجيات وهمية المستخدمين الناطقين بالصينية

2–3 minutes

في عالم الأمن السيبراني المتغير باستمرار، برزت حملة خبيثة جديدة تستخدم أدوات تثبيت برامج مزيفة تنتحل شخصيات أدوات شائعة مثل “Let’s VPN” و”QQ Browser” لتوزيع إطار العمل الخبيث “Winos 4.0”. وقد تم اكتشاف هذه الحملة لأول مرة من قبل شركة “Rapid7” في فبراير 2025، وتتميز باستخدامها لحمّل متعدد المراحل يُعرف باسم “كاتينا” (Catena).

تحليل عميق وسياق تاريخي

تستخدم حملة “كاتينا” شيفرات مدمجة ومنطق تبديل التكوين لتمكين تحميل حمولة “Winos 4.0” بالكامل في الذاكرة، مما يسمح لها بتجنب أدوات مكافحة الفيروسات التقليدية. وبمجرد التثبيت، يتصل البرنامج الخبيث بهدوء بخوادم يتحكم بها المهاجمون، غالباً ما تكون مستضافة في هونغ كونغ، لتلقي التعليمات أو البرمجيات الخبيثة الإضافية.

تستهدف هذه الهجمات بشكل خاص البيئات الناطقة بالصينية، وقد أشار الباحثون الأمنيون إلى “التخطيط الدقيق وطويل الأمد” من قبل جهة تهديد قادرة. وقد تم توثيق “Winos 4.0” لأول مرة من قبل “Trend Micro” في يونيو 2024 كأداة تستخدم في الهجمات التي تستهدف المستخدمين الناطقين بالصينية عبر ملفات تثبيت خبيثة لتطبيقات VPN.

آثار وأهمية الأمن

تعد هذه الحملة مثالاً على كيفية استغلال الجهات الخبيثة للأدوات الشائعة لإخفاء نواياها الحقيقية. بإستخدام برامج تثبيت NSIS مزيفة، والتي تتنكر كأدوات تثبيت لـ “QQ Browser” و”Let’s VPN”، يتم تحميل البرمجيات الخبيثة في الذاكرة، مما يجعل من الصعب اكتشافها بواسطة أدوات الأمان التقليدية.

يستخدم “Winos 4.0” نظاماً قائماً على الإضافات لجمع البيانات وتوفير الوصول عن بعد وتشغيل هجمات حجب الخدمة الموزعة (DDoS). وتستند هذه البنية على جذور “Gh0st RAT”، وهو تروجان وصول عن بعد معروف.

رؤى الخبراء والاتجاهات الحالية

تنتمي هذه الحملة إلى مجموعة تهديد تُعرف باسم “Void Arachne”، والتي تُعرف أيضاً باسم “Silver Fox”. وقد استهدفت الحملة الأخيرة في فبراير 2025 الأفراد في تايوان عبر رسائل احتيالية تدّعي أنها من المكتب الوطني للضرائب.

في تسلسل الهجوم المحدث، يتنكر المثبّت NSIS كملف إعداد لـ “Let’s VPN” ويقوم بتشغيل أمر PowerShell يضيف استثناءات لـ “Microsoft Defender” لجميع الأقراص. كما يسقط حمولات إضافية، بما في ذلك ملف تنفيذي يلتقط لقطات من العمليات الجارية ويتحقق من العمليات المتعلقة بـ “360 Total Security”.

يُظهر هذا التطور في التكتيكات مدى تعقيد وتكيف الجهات الفاعلة في مجال التهديدات، حيث تستخدم الشهادات المنتهية الصلاحية لتجنب الاكتشاف.

نقاش وتفاعل

مع تزايد التهديدات السيبرانية، كيف يمكن للشركات تعزيز دفاعاتها ضد مثل هذه الهجمات المتطورة؟ هل يمكن أن تكون الحلول القائمة على الذكاء الاصطناعي هي الإجابة؟ ندعوكم لمشاركة آرائكم وتجاربكم في التعليقات.

للاطلاع على المزيد من المحتوى الحصري، تابعونا على تويتر وفيسبوك.

اكتشف المزيد مع سيبرات

اشترك ليصلك أحدث المنشورات على بريدك الإلكتروني

شاركنا رأيك بتعليق

المقالات الرائجة

اكتشف المزيد مع سيبرات

اشترك الآن للاستمرار في القراءة والحصول على الوصول الكامل إلى الأرشيف

تابع القراءة