الأمن السيبراني
#ShadowReactor
#RemcosRAT
Shadow#Reactor: توصيل Remcos RAT عبر ملفات نصية
حملة تُعرف باسم Shadow#Reactor تستخدم ملفات نصية فقط لتوصيل Trojan الوصول عن بُعد Remcos لخرق ضحاياها، بدلاً من استخدام ثنائيات تقليدية. نشر الباحثون في شركة Securonix تفاصيل حملة برمجيات خبيثة متعددة المراحل تستهدف نظام Windows، حيث تستفيد من Windows Script Host، وهي أداة شرعية تُستخدم من قبل نظام التشغيل لتشغيل السكربتات المكتوبة بلغات مثل VBScript.
بمجرد أن يحصل المهاجمون على الوصول الأولي من خلال خدعة اجتماعية (مثل التصيد الاحتيالي)، يقوم مُشغل VBS بتفعيل مُحمّل PowerShell، الذي قال الباحثون إنه "يسترجع حمولات مجزأة تعتمد على النص من مضيف بعيد". ثم يتم إعادة تجميع هذه الأجزاء إلى مُحمّلات عبر MSBuild، وفك تشفيرها في الذاكرة، واستخدامها لتنزيل Remcos RAT.
تعتبر هذه خدعة ذكية على نمط living-off-the-land، مما يرفع مستوى كيفية خداع المهاجمين لآليات الدفاع والتسلل إلى نظام الهدف.
نظام توصيل البرمجيات الخبيثة المتطور لـ Shadow#Reactor
وفقًا للباحثين في تهديدات Securonix ومؤلفي المقال Akshay Gaikwad وShikha Sangwan وAaron Beardslee، تستخدم حملة Shadow#Reactor عملية مُنسقة بعناية لتوصيل البرمجيات الخبيثة مع الاستفادة من أكبر قدر ممكن من موارد المدافعين. أولاً، يقوم الهدف بالنقر على رابط خبيث أو فتح ملف تم إسقاطه، مما ينفذ سكربت "بسيط". يقوم هذا السكربت بإنشاء حمولة PowerShell مُعقدة بشكل كبير. يتم تشويش هذه الحمولة عن طريق إفسادها عمدًا باستخدام رموز "%"، لتجنب فك تشفير النظام المبكر. ثم يستبدل السكربت كل % بحرف "C" قبل تنفيذها مباشرة في الذاكرة.
"تخلق هذه الطريقة bootstrap متعدد الطبقات، حيث لا ينفذ مرحلة VBS أي منطق خبيث بنفسه، بل يسلم السيطرة بالكامل إلى PowerShell،" كما أوضح الباحثون. "من منظور نقطة النهاية، يتميز هذا السلوك بتوليد wscript.exe لـ powershell.exe مع سلاسل أوامر كبيرة غير عادية، والتنفيذ من دلائل قابلة للكتابة من قبل المستخدم مثل Desktop أو %TEMP%، ومؤشرات ثابتة قليلة ضمن ملف VBS بخلاف كتم الأخطاء واستخدام WScript.Shell."
ثم تقوم حمولة PowerShell بإنشاء آلية توصيل حمولة تعتمد على النص "تطبق حلقة تنزيل والتحقق المتحكم بها، تسترجع المحتوى البعيد بشكل متكرر حتى تصل البيانات المُحمّلة إلى حد أدنى محدد مسبقًا." من خلال توصيل الحمولة في أجزاء، ستنظر الدفاعات المستهدفة عمومًا إلى أجزاء الملفات كقطع نصية وليس ما ستصبح عليه في النهاية، وهو Remcos RAT. يتم تجميع النص وفك تشفيره، ويتم نشر Remcos RAT.
كما ذكرت Securonix، يُعتبر Remcos أداة متاحة تجاريًا تُستخدم للوصول عن بُعد، "تُستخدم على نطاق واسع من قبل المهاجمين لأغراض خبيثة." يمنح Remcos المهاجم الناجح السيطرة الكاملة على نظام الهدف، مما يمكّن الوصول الكامل إلى سطح المكتب التفاعلي وكل ما يتضمنه: إدارة الملفات، والتنفيذ عن بُعد، وتكوين الاستمرارية، والحركة الجانبية المحتملة، وميزات أخرى.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!