تستغل حملة تصيد جديدة مزيجًا خطيرًا من خدمات Cloudflare الشرعية وأدوات Python مفتوحة المصدر لتسليم AsyncRAT. تُظهر الهجمة تزايد استغلال المهاجمين للخدمات الشرعية والأدوات مفتوحة المصدر لتفادي الكشف وإقامة وصول دائم عن بُعد إلى بيئات الضحايا.
تستغل حملة تصيد جديدة مزيجًا خطيرًا من خدمات Cloudflare الشرعية وأدوات Python مفتوحة المصدر لتسليم AsyncRAT. تُظهر الهجمة تزايد استغلال المهاجمين للخدمات الشرعية والأدوات مفتوحة المصدر لتفادي الكشف وإقامة وصول دائم عن بُعد إلى بيئات الضحايا.
اكتشف الباحثون في Trend Micro الحملة التي تستفيد من خدمات Cloudflare المجانية وTryCloudflare لتوجيه النطاقات لاستضافة خوادم المهاجمين، مما يخفي الأنشطة الخبيثة تحت بنية موثوقة. وهذا يجعل الكشف عن الهجمات تحديًا للحلول الأمنية التقليدية مع ضمان تسليم موثوق للحمولات، وفقًا لما ورد في مدونة نُشرت يوم الاثنين.
علاوة على ذلك، قال الباحثون في Trend Micro إن الهجوم يستغل أيضًا لغة البرمجة Python الشهيرة من خلال استخدام تنزيلات Python الشرعية من المصادر الرسمية. في الواقع، يُنشئ بيئة Python كاملة على أنظمة الضحايا لتنفيذ “تقنيات حقن الشيفرات المتطورة”، مما يمنح الأنشطة الخبيثة غلافًا من الشرعية.
“من خلال استخدام سكربتات مبنية على Python واستغلال بنية Cloudflare المجانية لاستضافة الحمولة الخبيثة، نجح المهاجمون في إخفاء أنشطتهم تحت نطاقات موثوقة، متجاوزين الضوابط الأمنية التقليدية،” كتب باحثو تهديدات Trend Micro في المنشور.
نظرًا لأن اللغة المستخدمة في الملفات الخبيثة هي الألمانية، فمن المحتمل أن يكون المهاجمون يستهدفون منظمات في أوروبا. ومع ذلك، تم توثيق التكتيكات المستخدمة في هجمات AsyncRAT سابقًا في حملات تهديد أخرى، مما قد يشير إلى أن المهاجمين يستهدفون نطاقًا أوسع من المنظمات.
كما لم يذكر الباحثون أي المؤسسات أو الصناعات المستهدفة في الحملة؛ ومع ذلك، حيث أن أحد الطُعم يتعلق بالفواتير، فقد تتأثر أنواع متعددة من المنظمات التجارية.
خداع لتسليم AsyncRAT
تعتمد الحملة على تكتيكات الهندسة الاجتماعية التي تربك الضحايا المحتملين بينما تكسب الثقة خلال العملية. يبدأ تدفق الهجوم برسائل تصيد تُوزع عبر روابط Dropbox التي تستخدم طُعمًا يتعلق بالفواتير للطلبات وتتضمن روابط لملفات أرشيف خبيثة. تستخدم الملفات المرتبطة امتدادات مزدوجة، .pdfurl، تهدف إلى خداع الضحايا، على الرغم من أنها تعرض مستندات PDF شرعية أثناء التنفيذ لتقليل أي شكوك أولية، كما أشار الباحثون.
عندما يفتح المستهدفون الملف، يتم توجيههم لتنزيل سكربتات متعددة المراحل مستضافة على نطاقات TryCloudflare، مما يساعد المهاجمين أيضًا على تفادي الكشف. تقوم هذه السكربتات بتثبيت بيئة Python لإقامة الاستمرارية مع سكربتات مجلد بدء التشغيل، ثم حقن الشيفرة في explorer.exe باستخدام Python.
في النهاية، تسلم هذه العملية الحمولة النهائية، AsyncRAT، وهو برنامج ضار متاح تجاريًا يفضله المهاجمون بسبب هيكله القابل للتعديل، مما يسمح بالتخصيص والمرونة في النشر. تشمل قدراته تسجيل المفاتيح، والتقاط الشاشة، وتنفيذ الأوامر عن بُعد.
بمجرد تحميله، يضمن RAT الاستمرارية من خلال عدة طرق، بما في ذلك سكربتات مجلد بدء التشغيل (ahke.bat، olsm.bat)، وتركيب WebDAV، وتقنيات “العيش على الأرض” الشرعية التي تستخدم Windows Script Host وPowerShell والأدوات النظامية المدمجة لتفادي الكشف، كما قال الباحثون.
التصيد يبقى متجهًا ناجحًا
على الرغم من استخدامه كمتجه هجوم لعقود – مما يعني أنه يجب أن يكون الآن معروفًا للغاية من قبل المدافعين والضحايا المحتملين على حد سواء – لا يزال التصيد tactic شائعًا وفعالًا كتكتيك دخول أولي للمهاجمين.
تسلط الهجمة المحددة التي أوضحها Trend Micro الضوء على الاتجاه المستمر بين المهاجمين لاستغلال خدمات النفق السحابي والاستضافة الشرعية لتسليم وتنفيذ البرمجيات الضارة. هذا يلغي الحاجة إلى أن يقوم المهاجمون ببناء بنيتهم التحتية الخاصة كما يجعل الأنشطة الخبيثة تبدو شرعية.
تؤكد هذه التكتيكات المتطورة “الحاجة إلى أن تتبنى المنظمات نهج أمان متعدد الطبقات وأن تحافظ على اليقظة ضد” التطور المستمر للمهاجمين، كما لاحظ الباحثون.
أدرجت Trend Micro مؤشرات الاختراق (IoCs) للهجوم في منشورها، وقدمت أيضًا نصائح أمنية عملية للمدافعين. كانت إحدى التوصيات التي أبرزها الباحثون هي أن يكونوا على دراية بمخاطر الامتدادات المزدوجة في الملفات المرفقة أو الروابط غير المرغوب فيها، والتي تشير إلى الأنشطة الخبيثة، وفقًا للمنشور.
يجب على المنظمات أيضًا، كقاعدة عامة، تنفيذ حلول أمان البريد الإلكتروني المتقدمة القادرة على اكتشاف وحظر المرفقات والروابط الخبيثة، ونشر حلول الكشف والاستجابة للنقاط النهائية (EDR) مع تحليل سلوكي لتحديد وحظر الهجمات المعتمدة على السكربت وتقنيات حقن الشيفرات.
لمنع المهاجمين من استخدام خدمات السحابة الشرعية لنشر البرمجيات الضارة، يجب على المدافعين أيضًا مراقبة وتقييد الاتصالات الصادرة إلى خدمات السحابة التي ليست مطلوبة لعمليات الأعمال، بما في ذلك منصات النفق المجانية وخدمات استضافة الملفات، كما نصح الباحثون.
تؤكد هذه التكتيكات المتطورة الحاجة إلى أن تتبنى المنظمات نهج أمان متعدد الطبقات وأن تحافظ على اليقظة ضد التطور المستمر للمهاجمين.
