في ظل التهديدات المتزايدة للأمن السيبراني، ظهرت برامج الفدية Charon كأحد أخطر التهديدات التي تستهدف القطاعات العامة وصناعة الطيران في الشرق الأوسط.
هجوم برامج الفدية Charon على القطاعات في الشرق الأوسط باستخدام تكتيكات التهرب من APT
اكتشف باحثو الأمن السيبراني حملة جديدة تستخدم عائلة برامج الفدية غير الموثقة مسبقًا والمعروفة باسم Charon لاستهداف القطاع العام وصناعة الطيران في الشرق الأوسط.
وفقًا لشركة Trend Micro، فإن الفاعل وراء هذا النشاط أظهر تكتيكات تشبه تلك التي تستخدمها مجموعات التهديد المستمرة المتقدمة (APT)، مثل تحميل DLL الجانبي، حقن العمليات، والقدرة على التهرب من برامج الكشف والاستجابة للنقاط النهائية (EDR).
تشبه تقنيات تحميل DLL الجانبي تلك التي تم توثيقها سابقًا كجزء من الهجمات التي نفذتها مجموعة قراصنة مرتبطة بالصين تُدعى Earth Baxia، والتي تم الإبلاغ عنها من قبل شركة الأمن السيبراني لاستهداف الكيانات الحكومية في تايوان ومنطقة آسيا والمحيط الهادئ لتقديم باب خلفي معروف باسم EAGLEDOOR بعد استغلال ثغرة أمنية تم تصحيحها تؤثر على OSGeo GeoServer GeoTools.
“سلسلة الهجمات استخدمت ملفًا شرعيًا متعلقًا بالمتصفح، Edge.exe (المسمى أصلاً cookie_exporter.exe)، لتحميل ملف ضار msedge.dll (SWORDLDR)، الذي نشر بعد ذلك حمولة برامج الفدية Charon،” قال الباحثون جاكوب سانتوس، تيد لي، أحمد كمال، ودون أود لادور.
مثل غيرها من ثنائيات برامج الفدية، فإن Charon قادر على تنفيذ إجراءات مدمرة تؤدي إلى إنهاء الخدمات والعمليات المتعلقة بالأمان، بالإضافة إلى حذف النسخ الاحتياطية والنسخ الظلية، مما يقلل من فرص الاستعادة. كما يستخدم تقنيات تعدد الخيوط والتشفير الجزئي لجعل عملية قفل الملفات أسرع وأكثر كفاءة.
جانب آخر ملحوظ في برامج الفدية هو استخدام برنامج تشغيل تم تجميعه من مشروع Dark-Kill مفتوح المصدر لتعطيل حلول EDR من خلال ما يسمى بهجوم “احضر برنامج تشغيل ضعيف خاص بك” (BYOVD). ومع ذلك، فإن هذه الوظيفة لا يتم تفعيلها أثناء التنفيذ، مما يشير إلى أن هذه الميزة ربما لا تزال قيد التطوير.
هناك أدلة تشير إلى أن الحملة كانت مستهدفة بدلاً من أن تكون عرضية. وهذا ينجم عن استخدام ملاحظة فدية مخصصة تشير بشكل محدد إلى اسم المنظمة الضحية، وهو تكتيك لم يُلاحظ في الهجمات التقليدية لبرامج الفدية. حاليًا، لا يُعرف كيف تم الحصول على الوصول الأولي.
على الرغم من التداخلات التقنية مع Earth Baxia، أكدت Trend Micro أن هذا قد يعني واحدة من ثلاث أشياء –
- مشاركة مباشرة من Earth Baxia
- عملية علمية مزيفة مصممة لتقليد حرفة Earth Baxia بشكل متعمد، أو
- فاعل تهديد جديد قام بتطوير تكتيكات مشابهة بشكل مستقل
“بدون أدلة تدعم مثل البنية التحتية المشتركة أو أنماط الاستهداف المتسقة، نقيم أن هذا الهجوم يظهر تقاربًا تقنيًا محدودًا ولكنه ملحوظ مع العمليات المعروفة لـ Earth Baxia،” أشارت Trend Micro.
بغض النظر عن النسبة، فإن النتائج تجسد الاتجاه المستمر لمشغلي برامج الفدية الذين يتبنون بشكل متزايد أساليب متقدمة لنشر البرمجيات الضارة والتهرب من الدفاع، مما يساهم في طمس الحدود بين الجرائم الإلكترونية وأنشطة الدول.
“هذا التقارب بين تكتيكات APT وعمليات برامج الفدية يشكل خطرًا مرتفعًا على المنظمات، حيث يجمع بين تقنيات التهرب المتطورة وتأثير الأعمال الفوري لتشفير برامج الفدية،” استنتج الباحثون.
تأتي هذه الإفصاحات في الوقت الذي تفصيل فيه eSentire حملة برامج الفدية Interlock التي استخدمت طُعم ClickFix لنشر باب خلفي يعتمد على PHP والذي بدوره ينشر NodeSnake (المعروف أيضًا باسم Interlock RAT) لسرقة بيانات الاعتماد وزرعًا قائمًا على C يدعم الأوامر المقدمة من المهاجم لمزيد من الاستطلاع ونشر برامج الفدية.
“تستخدم مجموعة Interlock عملية متعددة المراحل معقدة تتضمن نصوص PowerShell، وأبواب خلفية PHP/NodeJS/C، مما يبرز أهمية مراقبة نشاط العمليات المشبوهة، وLOLbins، وغيرها من TTPs،” قالت الشركة الكندية.
تظهر النتائج أن برامج الفدية لا تزال تهديدًا متطورًا، حتى مع استمرار الضحايا في دفع الفدية لاستعادة الوصول إلى الأنظمة بسرعة. من ناحية أخرى، بدأ مجرمو الإنترنت في اللجوء إلى التهديدات الجسدية وهجمات DDoS كوسيلة للضغط على الضحايا.
تظهر الإحصائيات التي شاركتها Barracuda أن 57% من المنظمات تعرضت لهجوم ناجح من برامج الفدية في الأشهر الـ 12 الماضية، من بينها 71% ممن تعرضوا لاختراق عبر البريد الإلكتروني تعرضوا أيضًا لهجوم من برامج الفدية. علاوة على ذلك، دفع 32% فدية، لكن فقط 41% من الضحايا استعادوا جميع بياناتهم.
تستمر برامج الفدية في التطور، مما يتطلب من المنظمات تعزيز استراتيجياتها الأمنية لمواجهة هذه التهديدات المتزايدة.
