تطورت حملة التصيد الاحتيالي للبرامج الضارة التي بدأت في نشر برنامج DarkGate الضار في سبتمبر من هذا العام لتصبح واحدة من أكثر حملات التصيد الاحتيالي تقدمًا في مشهد التهديدات. منذ ذلك الحين، تغيرت الحملة لاستخدام أساليب المراوغة وتقنيات مكافحة التحليل لمواصلة توزيع DarkGate، ومؤخرًا PikaBot.
انطلقت الحملة بعد شهر واحد فقط من آخر نشاط تمت مشاهدته من QakBot، وتتبع نفس الاتجاهات التي تستخدمها جهات التهديد سيئة السمعة التي تنشر البرامج الضارة وشبكة الروبوتات QakBot.
تقوم هذه الحملة بنشر عدد كبير من رسائل البريد الإلكتروني إلى مجموعة واسعة من الصناعات، ونظرًا لقدرات تحميل البرامج الضارة التي تم تسليمها، يمكن أن تكون الأهداف معرضة لخطر التهديدات الأكثر تعقيدًا مثل البرامج الضارة التجسسية وبرامج الفدية.
نظرة من الداخل على حملة التصيد الاحتيالي
تمثل هذه الحملة بلا شك تهديدًا عالي المستوى بسبب التكتيكات والتقنيات والإجراءات (TTPs) التي تمكن رسائل البريد الإلكتروني التصيدية من الوصول إلى الأهداف المقصودة بالإضافة إلى القدرات المتقدمة للبرامج الضارة التي يتم تسليمها. خلال عمر الحملة، لاحظ باحثو كوفينس Cofense العديد من سلاسل العدوى المختلفة، كما لو كان ممثلو التهديد يختبرون خيارات مختلفة لتوصيل البرامج الضارة.
تبدأ الحملة بسلسلة رسائل بريد إلكتروني مخترقة لإغراء المستخدمين بالتفاعل مع عنوان URL الذي أضاف طبقات تحد من الوصول إلى الحمولة الضارة فقط للمستخدمين الذين يستوفون متطلبات محددة تحددها جهات التهديد (الموقع ومتصفح الإنترنت). يقوم عنوان URL هذا بتنزيل أرشيف ZIP يحتوي على ملف JS Dropper، وهو تطبيق JavaScript يُستخدم للوصول إلى عنوان URL آخر لتنزيل البرامج الضارة وتشغيلها. في هذه المرحلة، تم إصابة المستخدم بنجاح إما بالبرنامج الضار DarkGate أو PikaBot.
يعتبر كل من DarkGate وPikaBot برنامجين ضارين متقدمين يتمتعان بقدرات أداة التحميل وسلوك مضاد للتحليل. ويُعزى ذلك إلى الميزات المتقدمة التي تقدمها كل عائلة والخطوات المضمنة في كل تكوين للبرامج الضارة والتي تجعل التحليل أكثر تعقيدًا بالنسبة للباحثين عن البرامج الضارة. أبرز ما يمكن أن يكون الأكثر جاذبية للجهات الفاعلة في مجال التهديد، مثل الشركات التابعة لـ QakBot، هو أن كلتا عائلتي البرامج الضارة يمكنها تقديم حمولات إضافية بمجرد زرعها بنجاح على جهاز المستخدم. قد تؤدي الإصابة الناجحة بـ DarkGate أو PikaBot إلى تسليم برامج تعدين العملات المشفرة المتقدمة أو أدوات الاستطلاع أو برامج الفدية أو أي ملف ضار آخر يرغب ممثلو التهديد في تثبيته على جهاز الضحية. مزيد من التفاصيل حول العائلات الفردية يمكن العثور عليها أدناه:
تكتيكات التصيد الاحتيالي المراوغة جنبًا إلى جنب مع تقنيات مكافحة التحليل
تجمع هذه الحملة بين أساليب التصيد الاحتيالي المعروفة وتقنيات معروفة بتعطيل عمليات تحليل البرامج الضارة. تعد الخطوات الأولى لهذه الحملة أكثر تعقيدًا بكثير من متوسط هجمات التصيد الاحتيالي. تقوم الجهات الفاعلة في مجال التهديد بنشر رسائل البريد الإلكتروني التصيدية من خلال سلاسل رسائل البريد الإلكتروني المختطفة التي يمكن الحصول عليها من هجمات Microsoft ProxyLogon (CVE-2021-26855). هذه ثغرة أمنية في Microsoft Exchange Server تسمح لممثلي التهديد بتجاوز المصادقة وانتحال شخصية المسؤولين.
يؤدي الرد على سلاسل البريد الإلكتروني إلى إنشاء طبقة إضافية من الثقة بين الجهات التهديدية والهدف، حيث قد يتعرف الهدف على المحادثة ويعتقد أن المرسل موثوق به. الشكل 3 (ATR 351964 ) أدناه هو مثال حقيقي للتصيد الاحتيالي الذي وصل إلى صندوق بريد مستخدم المؤسسة. قدمت الجهات الفاعلة في مجال التهديد رسالة ذات صلة بالسلسلة المختطفة إلى الهدف مع تضمين رابط ضار. يعد هذا أحد العوامل العديدة التي تمنح الحملات التي تستخدم هذا التكتيك فرصة أكبر للنجاح.
في رسالة البريد الإلكتروني، يمكنك رؤية عنوان URL الضار الموضح في الشكل 4. يحتوي عنوان URL هذا على نمط فريد مثل ذلك الذي يظهر في حملات التصيد الاحتيالي لـ QakBot (ATR 325113 ). تعد عناوين URL هذه أكثر من مجرد عنوان URL للتصيد الاحتيالي؛ قامت الجهات الفاعلة في مجال التهديد بتضمين طبقات إضافية لتقييد الوصول إلى الملف الضار الذي تقدمه. على سبيل المثال، لاسترداد التنزيل، يجب على المستخدمين استخدام متصفح Google Chrome في موقع محدد تحدده جهات التهديد، وتحديدًا في الولايات المتحدة.
تجربة خيارات تسليم البرامج الضارة
آلية التسليم الأكثر شيوعًا في هذه الحملة هي JS Droppers، ومع ذلك، قامت Cofense Intelligence بتتبع هذه الحملة منذ البداية وقامت بتوثيق كل سلسلة عدوى مستخدمة في هذه الحملة. أبرزها، خارج JS Droppers، يتضمن استخدام Excel-DNA Loader، وVBS Downloaders، وLNK Downloaders. تستخدم الجهات الفاعلة في مجال التهديد هذه الأساليب لتنزيل البرامج الضارة وتثبيتها كل يوم، لذلك ليس من غير المألوف رؤية حملة بهذا المستوى المتقدم تتضمن هذه الأساليب الإضافية ضمن سلاسل الإصابة. الطريقة الأكثر غرابة هي دمج برامج تحميل Excel-DNA. هذه آلية تسليم جديدة نسبيًا (شوهدت لأول مرة في عام 2021) وأصبحت شائعة جدًا في وقت مبكر وتتضمن استخدام وظائف Microsoft Excel الإضافية لتنزيل الحمولات الضارة وتشغيلها.
هذه الحملة متقدمة ومصممة بشكل جيد وقد تطورت بالفعل منذ ظهورها لأول مرة في البرية. وتحافظ الجهات الفاعلة في مجال التهديد التي تقف وراء الحملة على مهارات تفوق المخادع العادي، ويجب أن يكون الموظفون على دراية بوجود هذا النوع من التهديد.
المصدر: Cofense Intelligence