هجمات جديدة لعصابة سوفاسي الالكترونية تستهدف جهات حكومية حول العالم عبر برمجية خبيثة تدعى (المدفع)

22 11 2018

دبي، الإمارات العربية المتحدة: اعترضت شركة «بالو ألتو نتوركس»، الشركة المتخصصة في تطوير الجيل التالي من الحلول الأمنية، في أواخر أكتوبر ومطلع نوفمبر 2018 سلسلة من مستندات وورد المفخخة والتي تتبع طريقة في تحميل قوالب وورد Word Template عن بعد تحتوي على ماكرو برمجي خبيث. وتزيد صعوبة رصد أنظمة التحليل الأمني المؤتمتة لهذه الأنواع من المستندات المفخخة رغم شيوعها بسبب طبيعتها المجزأة إلى برمجيات تستجلب لاحقًا على مراحل. ويختلف هذا النمط الهجومي وقت تنفيذه في عدم إمكانية استجلاب البرمجية الخبيثة في حالة توقف عمل خادم القيادة والتحكم الهجومي، مما يجعل مستند التوصيل يبدو أنه غير خبيث بصورة عامة.

واستهدفت هذه المستندات العديد من الجهات الحكومية في أنحاء العالم، ولحسن الحظ كانت خوادم القيادة والتحكم الهجومية للعديد من المستندات في حالة عمل، الأمر الذي مكن شركة بالو ألتو نتوركس من استجلاب الماكرو وما يلحقه من حمولات برمجية خبيثة. وكشف تحليل بالو ألتو نتوركس عن حمولة برمجية تفرز في المرحلة الأولى حصان طروادة يسمى «زيبروسي» Zebrocy  وهو برمجية خبيثة معروفة وموثقة بشكل جيد في السابق.

وبعد تقصي المزيد من البيانات اكتشفت شركة بالو ألتو نتوركس حمولة ثانوية أطلقت عليها اسم "المدفع" 'Cannon'. ولم يعرف عن عصابة «سوفاسي» استخدامها لبرمجية "المدفع" من قبل. ويعمل حصان طروادة هذا بنمط جديد يعمد إلى فتح قناة اتصال مع خادم القيادة والتحكم الهجومي بالاعتماد على رسائل البريد الالكتروني.

وهذه ليست المرة الأولى التي تعمد فيها جماعة معادية إلى استغلال الأحداث الحالية الجارية بهدف التضليل، لكنه ما أثار اهتمامنا هو رؤية هذه الجماعة تحاول استغلال حادثة مأساوية لتمرير هجماتها، وهي واقعة سقوط طائرة «لايون إير» المنكوبة في إندونيسيا والتي استغلت في تسمية المستند.

تفاصيل الهجوم

كان النموذج الأولي الذي اعترضته شركة بالو ألتو نتوركس هو ملف لمستند وورد يحمل اسم
crash list(Lion Air Boeing 737).docx ويدعى اسم مؤلفه «جوون» Joohn. واتضح أن هذا المستند كان يستهدف منظمة حكومية تعنى بالشؤون الخارجية وذلك بانتهاج أسلوب انتحال الشخصية في التصيد الاحتيالي. وبمجرد محاولة المستخدم فتح المستند، يبادر تطبيق مايكروسوفت وورد مباشرة إلى تحميل قالب عن بعد يحتوي على ماكرو يستجلب بدوره حمولة برمجية خبيثة من موقع شبكي موصوف في ملف الإعدادات settings.xml.rels  ضمن مستند DOCX.

فعندما ينقر المستخدم على زر "تمكين المحتوى" Enable content فإن الماكرو المدمج في هذا المستند يبدأ في التنفيذ. ويعتمد هذا الماكرو على طريقة غير شائعة كثيرًا، إذ يستغل وظيفة برمجية تدعى "الإغلاق الذاتي" AutoClose والمعدة كي تنفذ تلقائيًا فور إغلاق المستند. وهذا يعتبر أسلوبًا من الأساليب المضادة للتحليل الأمني لأن تطبيق مايكروسوفت وورد لن يقوم بتنفيذ الماكرو الخبيث بالكامل حتى يقوم المستخدم بإغلاق المستند، ما يعني أنه في حالة انتهاء نظام التحليل الأمني المؤتمت من إجراء تحليله دون إغلاق المستند، فإنه قد يفشل في رصد هذا النشاط الخبيث بالكامل. وفي حالة نجاح برمجية الماكرو في التنفيذ فسيؤدي ذلك إلى تثبيت حمولة برمجية خبيثة وإدخال مستند يحفظ في النظام.

-انتهى-

© Press Release 2018