القراصنة يستخدمون بلوكتشين TON للتهرب من اكتشاف البرامج الضارة عبر برامج شرعية

حدد باحثون في مجال الأمن السيبراني حملة برمجيات خبيثة تستخدم سلسلة TON وقطعًا من البرامج الشرعية ومكونات موثوقة من نظام Windows لبناء بنية قيادة وتحكم (C2) مرنة قادرة على تجاوز إجراءات الحماية التقليدية. يجمع المهاجمون بين تقنيات البلوك تشين والتطبيقات المستخدمة على نطاق واسع لتعقيد اكتشاف البرمجيات الخبيثة وإعاقة جهود الإيقاف التقليدية. تعكس هذه الحملة اتجاهًا متزايدًا يستغل فيه مجرمو الإنترنت التقنيات اللامركزية وبيئات البرمجيات الشرعية لإنشاء بنية برمجيات خبيثة شديدة المرونة تستطيع الصمود أمام حظر النطاقات والدفاعات الأمنية التقليدية.

رسائل التصيّد الاحتيالي تطلق سلسلة هجوم متعددة المراحل

تبدأ الهجمة برسائل تصيّد احتيالي مُموّهة على هيئة اتصالات مرتبطة بالحجوزات. يُوجَّه المستلمون إلى رابط Google Share يعيد توجيههم إلى موقع ويب خبيث، حيث يُطلب منهم تنزيل أرشيف ZIP إما مباشرة أو عبر واجهة شبيهة بـ ClickFix. يحتوي الأرشيف المُنزَّل على ملف اختصار لنظام Windows (LNK) مُموّه كصورة عبر استخدام أيقونة من مكتبة shell32.dll التابعة لـ Windows.

بمجرد فتح ملف الاختصار، ينفذ الأمر عبر PowerShell بشكل غير معلن وبتشفير مموّه. بدلًا من تخزين نطاق التنزيل كنص عادي، يشفّر المهاجمون العنوان على هيئة قيمتين رقمّيتين كبيرتين. يعيد البرنامج النصي المضمَّن في PowerShell بناء النطاق الخبيث عبر إجراء عمليات حسابية وعمليات على مستوى البتّات، ما يجعل البنية أكثر صعوبة على أدوات الأمن في تحديدها أثناء التحليل الساكن.

ثم يقوم حمولة PowerShell بالتحقق مما إذا كانت بيئة تشغيل Node.js مثبتة بالفعل على الجهاز المستهدف. إذا لم تكن موجودة، يقوم البرمجيات الخبيثة بتنزيل نسخة Node.js الشرعية من نظام Windows من البنية التحتية الرسمية للتوزيع الخاصة بالمشروع، ثم يستخدِمها لاستخراجها إلى مجلد LocalAppData الخاص بالمستخدم. ومن خلال الاعتماد على مكونات برمجيات أصيلة بدلًا من ملفات تنفيذية خبيثة وحدها، يسعى المهاجمون إلى دمج نشاطهم مع سلوك التطبيقات الشرعية وتقليل احتمال الاكتشاف.

حمولة جافاسكريبت تستخدم مُفسّر آلة افتراضية مخصصًا

بعد تثبيت Node.js أو العثور عليه، يقوم البرمجيات الخبيثة بفك تشفير حمولة جافاسكريبت محمية بتشفير AES-128-CBC وترميز Base64. يتم تنفيذ الكود المفكوك عبر بيئة تشغيل Node.js الشرعية، مع تزويد إعدادات قيادة وتحكم بوصفها وسيطًا وقتيًا (runtime argument).

أفاد الباحثون أن زرع جافاسكريبت كان مُموَّهًا بشدة وتم تنفيذه عبر مُفسّر آلة افتراضية مخصص بدلًا من جافاسكريبت القياسية. تزيد هذه التقنية بشكل كبير من تعقيد تحليل البرمجيات الخبيثة عبر منع أدوات الحماية التقليدية المعتمدة على التوقيعات من تحديد الكود الخبيث بسهولة.

إعدادات مستضافة على البلوك تشين تُمكّن تحديثات C2

تستخدم الهجمة سلسلة TON بوصفها بنية قيادة وتحكم مرنة، ما يتيح للمهاجمين تحديث التعليمات الخبيثة دون تعديل البرمجيات الخبيثة أو إعادة توزيعها على الأنظمة المخترَنة مسبقًا. حدّد المحققون عدة مجالات تاريخية مرتبطة بقيادة وتحكم ضمن الحملة. ومع ذلك، لا تعتمد البرمجيات الخبيثة حصريًا على مجالات ثابتة للحصول على التعليمات. بدلًا من ذلك، يستطيع المشغّلون تعديل بيانات الإعدادات المستضافة على البلوك تشين كلما تم حجب البنية التحتية، ما يسمح للأجهزة المصابة باسترداد معلومات قيادة وتحكم محدَّثة دون الحاجة إلى استبدال البرمجيات الخبيثة نفسها.

تستطيع البرمجيات الخبيثة تنزيل ملفات تنفيذية لنظام Windows ونصوص PowerShell وحمولات جافاسكريبت إضافية. وقبل تنفيذ البرامج التي تعمل بنظام Windows، تتحقق من ترويسة ملف Portable Executable (PE)، وتخزّن الملف تحت اسم يتم توليده عشوائيًا في مجلد مؤقت، وقد تحاول إضافة مسار الملف إلى قائمة الاستثناءات الخاصة بـ Microsoft Defender لتقليل فرص اكتشافه أثناء التنفيذ.

نصيحة لفرق الأمن بمراقبة رسائل التصيّد وتثبيت البرامج غير المصرّح بها

نصح الباحثون المؤسسات بالبقاء يقظة تجاه حملات تصيّد تستخدم سمات السفر والحجوزات، خصوصًا رسائل البريد التي تحتوي على روابط Google Share تعيد توجيه المستخدمين إلى تنزيلات مشبوهة. كما أوصوا بمراقبة أرشيفات ZIP التي تحتوي ملفات اختصار LNK مُموّهة كصور، إلى جانب أي نشاط غير معتاد في PowerShell وتثبيتات غير مصرح بها لـ Node.js على أنظمة المؤسسات.

الأسئلة الشائعة

ما استخدام سلسلة TON في حملة البرمجيات الخبيثة هذه؟

تُستخدم سلسلة TON كُبنية قيادة وتحكم مرنة تُمكّن المهاجمين من تحديث التعليمات الخبيثة دون تعديل البرمجيات الخبيثة أو إعادة توزيعها على الأنظمة المخترَنة مسبقًا. يمكن للمشغّلين تعديل بيانات الإعدادات المستضافة على البلوك تشين كلما تم حجب البنية التحتية، ما يسمح للأجهزة المصابة باسترداد معلومات قيادة وتحكم محدَّثة.

كيف تُموّه البرمجيات الخبيثة نفسها على أنها برنامج شرعي؟

تقوم البرمجيات الخبيثة بتنزيل نسخة Node.js الشرعية الخاصة بنظام Windows من البنية التحتية الرسمية للتوزيع الخاصة بالمشروع، ثم تنفذ حمولة جافاسكريبت مُشفرة عبر بيئة تشغيل Node.js الأصيلة. ومن خلال الاعتماد على مكونات برمجيات موثوقة وأدوات مساعدة من Windows، يدمج المهاجمون نشاطهم مع سلوك التطبيقات الشرعية لتقليل احتمال اكتشافه بواسطة أدوات الأمن.

إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة مستمدة من مصادر خارجية وهي للمرجعية فقط. لا تمثل هذه المعلومات آراء أو وجهات نظر Gate ولا تشكل أي نصيحة مالية أو استثمارية أو قانونية. ينطوي تداول الأصول الافتراضية على مخاطر عالية. يرجى عدم الاعتماد حصرياً على المعلومات الواردة في هذه الصفحة عند اتخاذ القرارات. لمزيد من التفاصيل، يرجى الرجوع على إخلاء المسؤولية.
تعليق
0/400
لا توجد تعليقات