الأمن السيبراني
#Shellter
#سرقة_المعلومات
استخدام Shellter في حملات سرقة المعلومات المتقدمة
يستغل المهاجمون إطار عمل تجاري للتخفي، مخصص لفريق التقييم الأحمر، كنظام توصيل للحمولات بعد الاستغلال في عدد من حملات سرقة المعلومات المدفوعة مالياً. رصد باحثون من مختبرات أمان إلساتيك لأول مرة استخدام المهاجمين لنسخة "مكتسبة بشكل غير قانوني" من Shellter Elite الإصدار 11.0، وهو إطار عمل للتخفي ضد برامج مكافحة الفيروسات/الكشف عن النقاط النهائية (AV/EDR)، لتغليف الحمولات في أواخر أبريل 2025. أصدرت الشركة هذا الإصدار من الأداة، التي تُستخدم عادةً من قبل فريق التقييم الأحمر الشرعي لتقييمات الأمان المعتمدة، في 16 أبريل.
كتب باحثو إلساتيك في مدونة نُشرت الأسبوع الماضي: "من خلال الاستفادة من هذه الأدوات، لاحظنا أن المهاجمين عبر حملات مختلفة قد دمجوا بسرعة هذا المحمل شديد التخفي في سير عملهم الخاص". تتيح Shellter لمشغلي فريق التقييم الأحمر نشر أطر التحكم في الأوامر (C2) بشكل أكثر فعالية ضد حلول مكافحة البرامج الضارة المعاصرة. ومع ذلك، فإن نفس الميزات التي تمنحهم هذه القدرة يمكن أن تسمح أيضًا للمهاجمين بتجنب الكشف، وهو تأثير جانبي مؤسف لمثل هذه الحلول.
كتب الباحثون في المنشور: "على الرغم من أفضل جهود مجتمع أدوات الأمن التجاري (OST) للاحتفاظ بأدواتهم لأغراض مشروعة، فإن طرق التخفيف ليست مثالية. هم، مثل العديد من عملائنا، يواجهون مهاجمين مستمرين ومتحفزين". تؤثر إساءة استخدام الإطار على كل من مشروع Shellter من خلال فقدان الملكية الفكرية ووقت التطوير المستقبلي، وكذلك على بائعي الأمان الآخرين الذين يجب عليهم الآن "التعامل مع تهديدات حقيقية تستخدم أدوات أكثر قدرة".
حملات سرقة معلومات متنوعة
كان أول اكتشاف للحملة في أواخر أبريل، عندما لاحظ باحثو إلساتيك توزيع برنامج Lumma للسرقة باستخدام Shellter عبر ناقل عدوى أولي غير معروف. ومع ذلك، من خلال استخدام ANY.RUN، اكتشف الباحثون ملفات مرتبطة بـ Lumma تستضيف على منصة MediaFire لاستضافة الملفات. حملة أخرى تم اكتشافها في مايو استهدفت منشئي محتوى يوتيوب من خلال إغراءات تركزت حول فرص الرعاية في رسائل بريد تصيد تنتحل علامات تجارية مثل Udemy وSkillshare وPinnacle Studio وDuolingo.
كتب الباحثون: "تتضمن رسائل البريد الإلكتروني روابط تنزيل لملفات أرشيف (.rar)، تحتوي على محتوى ترويجي شرعي مغلف مع برنامج تنفيذي محمي بواسطة SHELLTER". في هذه الحالة، كان البرنامج التنفيذي هو برنامج السرقة المذكور، المعروف أيضًا باسم Sectop RAT. يشير C2 لهذا البرنامج إلى 185.156.72[.]80:15847، وهو نطاق تم تحديده سابقًا من قبل إلساتيك في 17 يونيو كجزء من حملة مرتبطة بمحمل Ghostpulse، كما أشار الباحثون.
حملة أخرى لتوزيع برنامج Rhadamanthys للسرقة بدأت من خلال مقاطع فيديو على يوتيوب تركز على مواضيع مثل اختراق الألعاب وتعديلات الألعاب، مع تعليقات الفيديو التي تربط إلى ملفات خبيثة مستضافة على MediaFire. تم تقديم أحد هذه الملفات للباحثين على الأقل 126 مرة فريدة من قبل أفراد مختلفين، كما قالوا.
كتبوا: "هذا الملف يشارك نفس الخصائص السلوكية مثل نفس الشيفرة الأساسية من أقسام تحليل Shellter السابقة". "الحمولة المدمجة مع هذه العينة تنشر برنامج Rhadamanthys للسرقة".
ميزات محددة تم استغلالها
وفقًا للمدونة، تقدم Shellter مجموعة من الإعدادات القابلة للتكوين لبيئات التشغيل المحددة وآليات تسليم الحمولة وأنواع التشفير. وجد الباحثون أن المهاجمين كانوا يستغلون العديد من هذه الميزات لتعزيز قدراتهم الهجومية في الحملات المذكورة. قالت المدونة: "تستخدم عينات محمية بواسطة SHELLTER بشكل شائع شيفرة قشرية ذاتية التعديل مع تشويش متعدد الأشكال لتضمين نفسها داخل برامج شرعية". "يساعد هذا الجمع بين التعليمات الشرعية والشيفرة المتعددة الأشكال هذه الملفات على تجنب الكشف الثابت والتوقيعات، مما يسمح لها بالبقاء غير مكتشفة".
في حملة Rhadamanthys بشكل خاص، استخدم المهاجمون الشيفرة المتعددة الأشكال لإرباك مفككات الشيفرات الثابتة وإضعاف جهود المحاكاة. تتضمن Shellter أيضًا ميزة تُسمى "Force Preload System Modules" التي تتيح تحميل مكتبات DLL الفرعية الأساسية لنظام Windows لدعم عمليات الحمولة الأساسية. "يتم تحميل هذه الوحدات من خلال إما LoadLibraryExW أو LdrLoadDll"، كما أوضح الباحثون.
تستخدم الميزة القدرة على التهرب من مكدس المكالمات لإخفاء مصدر مكالمة LoadLibraryExW أثناء تحميل مكتبات الشبكة والتشفير. لاحظ الباحثون استخدام المهاجمين لهذه الميزة لإخفاء تسليم Lumma stealer.
تشمل الميزات الأخرى لـ Shellter المستغلة في الحملات لمساعدة المهاجمين على التهرب من الأنظار تجاوز تقنيات ربط واجهة برمجة التطبيقات من بائعي AV/EDR، وفصل وحدات AV/EDR، والتخفي من عمليات مسح الذاكرة، واكتشاف المصحح، من بين أمور أخرى.
الحملات ستستمر، مما يتطلب إجراءات دفاعية
يتوقع باحثو إلساتيك أن النسخة غير المشروعة من Shellter ستستمر في التداول عبر مجتمع الجرائم الإلكترونية وقد تصل إلى الجهات الفاعلة المرتبطة بالدول، مما قد يوسع النشاط الخبيث. تخطط مشروع Shellter لتحديث وإصدار نسخة تقلل من فرص التهرب من الكشف التي حددها إلساتيك، وفقًا للباحثين، لكن من المحتمل أن تظل الإطار هدفًا للممثلين الخبيثين. من جهة أخرى، نشر مشروع Shellter مدونة في 4 يوليو اعترفت بأبحاث إلساتيك لكنها انتقدت الشركة بسبب نقص التواصل قبل الكشف.
لمساعدة المدافعين، تطلق إلساتيك مفكك ديناميكي للملفات التنفيذية المحمية بواسطة Shellter يستخدم مجموعة من تقنيات التحليل الديناميكي والثابت لاستخراج مراحل الحمولة المتعددة تلقائيًا. على الرغم من أن المفكك ليس شاملًا تمامًا، إلا أنه ينجح في معالجة الغالبية العظمى من العينات المختبرة، كما أشار الباحثون. "حتى مع الملفات التنفيذية غير المدعومة، فإنه عادةً ما يكون قادرًا على استخراج مرحلة واحدة على الأقل من الحمولة"، كما كتبوا.
إذا اختار المدافعون استخدام الأداة، يجب عليهم القيام بذلك فقط ضمن آلة افتراضية معزولة، حيث يتم تعيين الشيفرة التنفيذية المحتملة الضارة في الذاكرة أثناء عملية التفكيك، كما حذر الباحثون. "على الرغم من أن بعض الاحتياطات الأساسية قد تم تنفيذها"، كتبوا، "إلا أنها ليست معصومة من الخطأ".
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!