تستعرض هذه المقالة حملة Shadow#Reactor وكيف تستخدم ملفات نصية لتوصيل فيروس Remcos RAT، مما يشكل تهديدًا كبيرًا للأعمال.
تستخدم حملة تُعرف باسم Shadow#Reactor ملفات نصية فقط لتوصيل فيروس الوصول عن بُعد Remcos (RAT) لاختراق الضحايا، بدلاً من استخدام ملف ثنائي تقليدي.
نشر باحثون من شركة Securonix تفاصيل حملة برمجيات خبيثة متعددة المراحل على نظام Windows، تستفيد من Windows Script Host، وهي أداة شرعية تستخدمها نظام التشغيل لتشغيل النصوص المكتوبة بلغات مثل VBScript.
بمجرد أن يحصل المهاجمون على الوصول الأولي من خلال فخ هندسة اجتماعية (مثل التصيد)، يتم تشغيل مُشغل VBS الذي يُفعّل مُحمّل PowerShell، والذي قال الباحثون إنه “يسترجع حمولات نصية مجزأة من مضيف بعيد.” يتم بعد ذلك إعادة تجميع هذه القطع إلى مُحمّلات عبر MSBuild، ويتم فك تشفيرها في الذاكرة، وتستخدم لتنزيل فيروس Remcos RAT.
هذه خدعة ذكية تعتمد على استخدام الموارد الموجودة في النظام، مما يزيد من صعوبة خداع آليات الدفاع والتسلل إلى نظام الهدف.
نظام توصيل البرمجيات الخبيثة المتطور لـ Shadow#Reactor
وفقًا للباحثين في Securonix، يستخدم حملة Shadow#Reactor عملية منظمة بعناية لتوصيل البرمجيات الخبيثة مع الاستفادة من موارد المدافعين قدر الإمكان.
أولاً، ينقر الهدف على رابط خبيث أو يفتح ملفًا تم إسقاطه، مما ينفذ “نصًا” بسيطًا. يقوم هذا النص بإنشاء حمولة PowerShell مُعقدة بشكل كبير. يتم تشويش هذه الحمولة عمدًا باستخدام رموز “%”، لتجنب فك تشفير النظام المبكر. ثم يستبدل النص كل % بحرف “C” قبل تنفيذه مباشرة في الذاكرة.
“تخلق هذه الطريقة تمهيدًا متعدد الطبقات، حيث لا ينفذ مرحلة VBS منطقًا خبيثًا بنفسه، بل يسلم السيطرة بالكامل إلى PowerShell،” كما أوضح الباحثون. “من منظور نقطة النهاية، يتميز هذا السلوك بظهور wscript.exe إلى powershell.exe مع سلاسل أوامر كبيرة غير عادية، والتنفيذ من دلائل قابلة للكتابة من قبل المستخدم مثل Desktop أو %TEMP%، ومؤشرات ثابتة قليلة جدًا داخل ملف VBS بخلاف كتم الأخطاء واستخدام WScript.Shell.”
ثم تؤسس حمولة PowerShell آلية توصيل حمولة نصية “تنفذ حلقة تنزيل والتحقق تحت السيطرة، تستمر في جلب المحتوى البعيد حتى تصل البيانات المُحمّلة إلى حجم أدنى محدد مسبقًا.” من خلال توصيل الحمولة على شكل قطع، ستنظر دفاعات الهدف عمومًا إلى قطع الملفات كأجزاء نصية وليس ما ستصبح عليه في النهاية، وهو فيروس Remcos RAT. يتم تجميع النص وفك تشفيره، ويتم نشر فيروس Remcos RAT.
كما ذكرت Securonix، فإن Remcos هو أداة متاحة تجاريًا تُستخدم للوصول عن بُعد، “تُعاد استخدامها على نطاق واسع من قبل المهاجمين لأغراض خبيثة.” يمنح Remcos المهاجم الناجح السيطرة الكاملة على نظام الهدف، مما يتيح الوصول التفاعلي الكامل إلى سطح المكتب وكل ما يتضمنه: إدارة الملفات، التنفيذ عن بُعد، تكوين الاستمرارية، الحركة الجانبية المحتملة، وميزات أخرى.
المخاطر التجارية وتخفيف المدافعين
تقول Securonix إن نشاط Shadow#Reactor قد أظهر بشكل أساسي استهدافًا واسعًا وعشوائيًا (أي ليس محددًا عموديًا أو جغرافيًا) ضد الشركات الكبيرة والصغيرة والمتوسطة.
“تشمل طرق العدوى موارد ويب خبيثة أو مخترقة، وتنزيلات نصوص مباشرة، وتوصيل ملفات يعتمد على تفاعل المستخدم، مثل تنفيذ ملف VBS مُخفي كترقية شرعية أو وثيقة،” كما قال الباحثون.
في الوقت الحالي، لا تستطيع الشركة ربط النشاط بجهة تهديد محددة، على الرغم من أن الحملة تبدو مدفوعة ماليًا، مع إمكانية استخدام وساطة الوصول الأولي كاستراتيجية للت Monetization.
في النهاية، تعكس الحملة الطرق الذكية التي يستطيع بها المهاجمون تجاوز أدوات الدفاع القوية، حتى أثناء اعتمادهم على أدوات الضحية نفسها. كما أنها تذكير بالبقاء على اطلاع على أساليب الهندسة الاجتماعية وعدم تنزيل الملفات التي لا يمكنك التحقق منها على أنها قادمة من مصدر موثوق.
توصي Securonix المؤسسات بتثقيف المستخدمين حول مخاطر تنفيذ النصوص المُحمّلة، والتحقق من مصادر تنفيذ النصوص، وتقوية قدرات الكشف والاستجابة لنقاط النهاية (EDR)، والاستفادة من بيانات PowerShell المتقدمة، ومراقبة آثار الاستمرارية مثل الاختصارات المشبوهة في مجلد بدء التشغيل وإنشاء المهام المجدولة.
من المهم أن تظل على اطلاع بأحدث أساليب الهندسة الاجتماعية وأن تتخذ خطوات وقائية لحماية أنظمتك من هذه الأنواع من الهجمات.
