هجوم برنامج الفدية Charon على القطاعات في الشرق الأوسط باستخدام تقنيات التهرب على مستوى APT
اكتشف باحثو الأمن السيبراني حملة جديدة تستخدم عائلة برامج الفدية غير الموثقة مسبقًا المعروفة باسم Charon لاستهداف القطاع العام وصناعة الطيران في الشرق الأوسط.
وفقًا لشركة Trend Micro، أظهر الفاعل وراء هذه الأنشطة تكتيكات تعكس تلك الخاصة بمجموعات التهديد المستمرة المتقدمة (APT)، مثل تحميل DLL الجانبي، حقن العمليات، والقدرة على التهرب من برامج الكشف والاستجابة للنقاط النهائية (EDR).
تشبه تقنيات تحميل DLL الجانبي تلك الموثقة سابقًا كجزء من الهجمات التي نظمتها مجموعة قراصنة مرتبطة بالصين تُدعى Earth Baxia، والتي تم الإبلاغ عنها من قبل الشركة كاستهداف للكيانات الحكومية في تايوان ومنطقة آسيا والمحيط الهادئ لتقديم باب خلفي يُعرف باسم EAGLEDOOR بعد استغلال ثغرة أمنية تم تصحيحها مؤخرًا تؤثر على OSGeo GeoServer GeoTools.
“سلسلة الهجوم استغلت ملفًا شرعيًا متعلقًا بالمتصفح، Edge.exe (الذي كان يُدعى في الأصل cookie_exporter.exe)، لتحميل ملف ضار msedge.dll (SWORDLDR)، الذي نشر بدوره حمولة برنامج الفدية Charon،” قال الباحثون جاكوب سانتوس، تيد لي، أحمد كمال، ودون أود لادور.
مثل غيره من ثنائيات برامج الفدية، يتمتع Charon بقدرات على تنفيذ إجراءات تعطل الخدمات المتعلقة بالأمان والعمليات الجارية، بالإضافة إلى حذف النسخ الاحتياطية والنسخ الظلية، مما يقلل من فرص الاستعادة. كما يستخدم تقنيات تعدد الخيوط والتشفير الجزئي لجعل روتين قفل الملفات أسرع وأكثر كفاءة.
جانب آخر ملحوظ من برنامج الفدية هو استخدام برنامج تشغيل تم تجميعه من مشروع Dark-Kill مفتوح المصدر لتعطيل حلول EDR من خلال ما يُعرف بهجوم “احضر برنامج تشغيل ضعيف خاص بك” (BYOVD). ومع ذلك، لم يتم تفعيل هذه الوظيفة خلال التنفيذ، مما يشير إلى أن الميزة قد تكون قيد التطوير.
توجد أدلة تشير إلى أن الحملة كانت مستهدفة بدلاً من أن تكون عشوائية. وهذا ينشأ من استخدام ملاحظة فدية مخصصة تشير بشكل خاص إلى اسم المنظمة الضحية، وهو تكتيك لم يُلاحظ في الهجمات التقليدية لبرامج الفدية. حاليًا، لا يُعرف كيف تم الحصول على الوصول الأولي.
على الرغم من التداخلات التقنية مع Earth Baxia، أكدت Trend Micro أن هذا قد يعني واحدة من ثلاث أشياء –
- المشاركة المباشرة لـ Earth Baxia
- عملية علم زائف مصممة لتقليد حرفة Earth Baxia عن عمد، أو
- فاعل تهديد جديد طور بشكل مستقل تكتيكات مماثلة
“بدون أدلة موثقة مثل البنية التحتية المشتركة أو أنماط استهداف متسقة، نقيم أن هذا الهجوم يظهر تداخلًا تقنيًا محدودًا ولكنه ملحوظ مع العمليات المعروفة لـ Earth Baxia،” أشارت Trend Micro.
بغض النظر عن نسبة الفعل، توضح النتائج الاتجاه المستمر لمشغلي برامج الفدية الذين يعتمدون بشكل متزايد أساليب متطورة لنشر البرمجيات الخبيثة والتهرب من الدفاعات، مما يblur خطوط الفصل بين الجريمة السيبرانية ونشاط الدولة.
“هذا التداخل بين تكتيكات APT وعمليات برامج الفدية يشكل خطرًا متزايدًا على المنظمات، حيث يجمع بين تقنيات التهرب المتطورة وتأثير الأعمال الفوري لتشفير برامج الفدية،” استنتج الباحثون.
تأتي هذه الإفصاحات في الوقت الذي قدمت فيه eSentire تفاصيل حول حملة برامج الفدية Interlock التي استخدمت طُعم ClickFix لإسقاط باب خلفي قائم على PHP والذي بدوره ينشر NodeSnake (المعروف أيضًا باسم Interlock RAT) لسرقة بيانات الاعتماد وزرع قائم على C يدعم الأوامر المقدمة من المهاجمين لمزيد من الاستطلاع ونشر برامج الفدية.
“تستخدم مجموعة Interlock عملية متعددة المراحل معقدة تتضمن نصوص PowerShell، وأبواب خلفية PHP/NodeJS/C، مما يبرز أهمية مراقبة نشاط العمليات المشبوهة، وLOLBins، وغيرها من TTPs،” قالت الشركة الكندية.
تظهر النتائج أن برامج الفدية لا تزال تهديدًا متطورًا، حتى مع استمرار الضحايا في دفع الفدية لاستعادة الوصول السريع إلى الأنظمة. من ناحية أخرى، بدأ مجرمو الإنترنت في اللجوء إلى التهديدات الجسدية وهجمات DDoS كوسيلة للضغط على الضحايا.
تشير الإحصائيات التي شاركتها Barracuda إلى أن 57% من المنظمات شهدت هجومًا ناجحًا لبرامج الفدية في الأشهر الـ 12 الماضية، من بينها 71% ممن تعرضوا لاختراق عبر البريد الإلكتروني تعرضوا أيضًا لهجمات برامج الفدية. علاوة على ذلك، دفع 32% فدية، لكن فقط 41% من الضحايا استعادوا جميع بياناتهم.
