الأمن السيبراني
#AsyncRAT
#Python
استغلال AsyncRAT عبر Python وCloudflare في الهجمات
تستغل حملة تصيد جديدة مزيجًا خطيرًا من خدمات Cloudflare الشرعية وأدوات Python مفتوحة المصدر لتوصيل البرمجيات الخبيثة المعروفة باسم AsyncRAT. تُظهر هذه الهجمات كيف يزداد استغلال المهاجمين للخدمات الشرعية والأدوات مفتوحة المصدر لتفادي الكشف وإقامة وصول بعيد مستمر إلى بيئات الضحايا.
اكتشف الباحثون في شركة Trend Micro هذه الحملة، حيث تستفيد من خدمات Cloudflare المجانية ونطاقات TryCloudflare لتخزين خوادم المهاجمين، مما يخفي الأنشطة الضارة تحت بنية تحتية موثوقة. وهذا يجعل من الصعب على الحلول الأمنية التقليدية اكتشافها، مع ضمان توصيل موثوق للحمولات الضارة، وفقًا لما ورد في مدونة نُشرت يوم الاثنين.
علاوة على ذلك، أفاد الباحثون في Trend Micro بأن الهجوم يستغل أيضًا لغة البرمجة الشهيرة Python من خلال استخدام تنزيلات Python الشرعية من المصادر الرسمية. في الواقع، يُنشئ بيئة Python كاملة على أنظمة الضحايا لتنفيذ "تقنيات حقن كود متطورة"، مما يمنح الأنشطة الضارة غطاءً من الشرعية.
كتب باحثو تهديدات Trend Micro في المنشور: "من خلال استخدام سكربتات قائمة على Python واستغلال بنية Cloudflare المجانية لاستضافة الحمولة الضارة، نجح المهاجمون في إخفاء أنشطتهم تحت نطاقات موثوقة، متجاوزين الضوابط الأمنية التقليدية".
نظرًا لأن اللغة المستخدمة في الملفات الضارة هي الألمانية، فمن المحتمل أن المهاجمين يستهدفون منظمات في أوروبا. ومع ذلك، فقد تم توثيق التكتيكات المستخدمة في هجمات AsyncRAT سابقًا في حملات تهديد أخرى، مما قد يشير إلى أن المهاجمين يستهدفون مجموعة أوسع من المنظمات.
الخداع لتوصيل AsyncRAT
تعتمد الحملة على تكتيكات الهندسة الاجتماعية التي تخلط بين الضحايا المحتملين وتكسب ثقتهم خلال العملية. يبدأ تدفق الهجوم برسائل تصيد تُوزع عبر روابط Dropbox وتستخدم فخاخًا مرتبطة بالفواتير للطلبات، وتضم روابط لملفات أرشيف ضارة. تستخدم الملفات المرتبطة امتدادات مزدوجة، مثل .pdfurl، تهدف إلى خداع الضحايا، على الرغم من أنها تعرض مستندات PDF شرعية أثناء التنفيذ لتقليل أي شكوك أولية، كما أشار الباحثون.
عندما يفتح المستهدفون الملف، يتم توجيههم لتنزيل سكربتات متعددة المراحل مستضافة على نطاقات TryCloudflare، مما يساعد المهاجمين أيضًا على تفادي الكشف. تقوم هذه السكربتات بتثبيت بيئة Python لإقامة استمرارية مع سكربتات مجلد بدء التشغيل، ثم حقن كود في explorer.exe باستخدام Python.
في النهاية، تُسلم هذه العملية الحمولة النهائية، AsyncRAT، وهي برمجية خبيثة متاحة تجاريًا يفضلها المهاجمون بسبب هيكليتها القابلة للتخصيص ومرونتها في النشر. تشمل قدراتها تسجيل ضغطات المفاتيح، والتقاط الشاشة، وتنفيذ الأوامر عن بُعد.
بمجرد تحميلها، تضمن RAT الاستمرارية من خلال عدة قنوات، بما في ذلك سكربتات مجلد بدء التشغيل (ahke.bat، olsm.bat)، وتركيب WebDAV، وتقنيات "العيش على الأرض" الشرعية التي تستخدم Windows Script Host وPowerShell وأدوات النظام المدمجة لتجنب الكشف، وفقًا لما ذكره الباحثون.
التصيد يبقى وسيلة فعالة
على الرغم من استخدامها كوسيلة هجوم لعقود - مما يعني أنه يجب أن تكون الآن معروفة تمامًا من قبل المدافعين والضحايا المحتملين على حد سواء - إلا أن التصيد لا يزال تكتيكًا أوليًا شائعًا وفعالًا للمهاجمين.
تسلط الهجمة المحددة التي أوضحتها Trend Micro الضوء على الاتجاه المستمر بين المهاجمين لاستغلال خدمات النفق السحابية والاستضافة الشرعية لتوصيل وتنفيذ البرمجيات الخبيثة. وهذا يلغي الحاجة إلى بناء المهاجمين لبنيتهم التحتية الخاصة، كما يجعل الأنشطة الضارة تبدو شرعية.
تؤكد هذه التكتيكات المتطورة على "الحاجة إلى أن تتبنى المنظمات نهجًا أمنيًا متعدد الطبقات وأن تظل يقظة ضد" التطور المستمر للمهاجمين، كما لاحظ الباحثون.
تضمن Trend Micro مؤشرات الاختراق (IoCs) للهجوم في مدونتها، وقدموا أيضًا نصائح أمنية عملية أخرى للمدافعين. واحدة من التوصيات التي أبرزها الباحثون كانت الوعي بمخاطر الامتدادات المزدوجة في الملفات المرفقة غير المرغوب فيها أو الروابط، التي تشير إلى أنشطة ضارة.
يجب على المنظمات أيضًا، كقاعدة عامة، تنفيذ حلول أمان بريد إلكتروني متقدمة قادرة على اكتشاف وحظر المرفقات والروابط الضارة، ونشر حلول الكشف والاستجابة على نقاط النهاية (EDR) مع تحليل سلوكي لتحديد وحظر الهجمات القائمة على السكربت وتقنيات حقن الكود.
لمنع المهاجمين من استخدام خدمات سحابية شرعية لنشر البرمجيات الخبيثة، يجب على المدافعين أيضًا مراقبة وتقييد الاتصالات الصادرة إلى الخدمات السحابية التي ليست ضرورية لعمليات الأعمال، بما في ذلك منصات النفق المجانية واستضافة الملفات، كما نصح الباحثون.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!