استدراج الضحية يتم عبر مستند ملغوم يحتوي على وصف للوظائف المتاحة حالياً
اكتشفت شركة بالو ألتو نتوركس هجمة إلكترونية جديدة تستهدف الأفراد الذين تربطهم علاقات عمل مع شركات المقاولات المتعاقدة مع وزارة الدفاع الأمريكية. ومن خلال عمليات تحليل النص البرمجي والملفات والبنية التحتية لهذه البرمجية الخبيثة، اتضح أن الجهة التي تقف وراء هذه الحملة هي إما أن تكون مسؤولة (أو تعاونت) بشكل مباشر عن المجموعة التي أطلقت هجمة أوبريشن بلوكبستر سكويل Operation Blockbuster Sequel، وبالنتيجة فهي مسؤولة أيضاً عن هجمة أوبريشن بلوكبسترOperation Blockbuster، فالجهة المهاجمة أعادت استخدام الأدوات والتقنيات والإجراءات التي سبق استخدامها في الهجمات السابقة، ولكن مع اختلاف طفيف.
وقامت بالو ألتو نتوركس في الآونة الأخيرة بتحديد ملفات مستند مايكروسوفت أوفيس Microsoft Office Document ملغومة، تقوم باستخدام نفس وحدات الماكرو الخبيثة التي قامت الهجمات السابقة خلال هذا العام باستخدامها. واستناداً على محتويات هذه المستندات الخادعة، التي يتم استدراج الضحية من خلالها لفتح المستند الملغوم، تبين أن الجهة المهاجمة قامت بتحويل الأهداف من المتحدثين باللغة الكورية إلى المتحدثين باللغة الإنجليزية. ومن أبرز هذه الملفات، مستند ملغوم يحتوي على وصف للوظائف المتاحة حالياً، وللسياسات الداخلية المتبعة من قبل شركات المقاولات المتعاملة مع وزارة الدفاع الامريكية.
ومن ثم، تتم استضافة المستندات الملغومة على الأنظمة، وبالتالي تم تسهيل اختراقها وإعادة توجيهها. هذا، وقد تم استخدام مسار رابطين URL لاستضافة المستندات الملغومة ضمن الأنظمة المستهدفة، وهي متطابقة تماماً مع مسارات الأنظمة (المسار هو: event/careers/jobs/
وقد تم إدراج النص البرمجي الرئيسي للهجمات ضمن المستندات التجريبية التي تم تحميلها على تطبيق فايروس توتالVirusTotal. وتشير آلية إعادة استخدام النص البرمجي الرئيسي لوحدات الماكرو، ومفاتيح التشفير XORالمستخدمة ضمن وحدات الماكرو من أجل فك تشفير الأحمال المزروعة ضمن المستند، والتكرار الوظيفي للأحمال التي تقوم وحدات الماكرو بكتابتها على القرص، إلى مواصلة استخدام الجهة المهاجمة لمجموعة الأدوات ذاتها. كما أن استخدام أداة مؤتمتة من أجل إنشاء مستندات ملغومة يوضح لنا السيناريو العام، إلا أنه يتعارض مع إعادة استخدام البيانات الدليلية Metadata، والأحمال ومفاتيح التشفير XOR ضمن المستندات.
وبالإمكان ملاحظة أوجه الشبه الأخرى ما الهجمة السابقة التي تم ذكرها في التقرير، والهجمة الجديدة، ومنها الأحمال المتنقلة القابلة للتنفيذ PE Payloads المكتوبة على القرص بواسطة المستندات الخبيثة. إلى جانب أن وظائف الأحمال مشابهة للأحمال الأخرى المدرجة ضمن المستند الذي تقوم هذه الجهة المهاجمة بنشره. كما أن استخدام بروتوكول أمن طبقة النقل TLS وهمي للاتصالات، والسلاسل المشفرة ضمن العينات وأسماء الملفات ومحتويات الملفات الدفعية المدمجة ضمن المستندات الملغومة، إلى جانب إدراج بروتوكولات الاتصالات اللاسلكيةBeaconing وربطها بشكل مباشر مع عناوين الإصدار الرابع لبروتوكول الإنترنت IPv4 (دون فصل النطاقات من أجل سيرفرات الأوامر والتحكم C2)، جميعها تقنيات باتت معروفة ومرتبطة بأسلوب هجمات هذه المجموعة، وقد تغيرت هذه الإجراءات بدرجة بسيطة جداً منذ انطلاقة الهجمة الأولى أوبريشن بلوكبستر Operation Blockbuster.
من جهةً أخرى، وبالإضافة إلى إعادة استخدام ذات الأداة، تكرر استخدام ذات البنية التحتية أيضاً. فروابط الـ URLالمستخدمة لاستضافة المستندات الخبيثة، وعناوين الإصدار الرابع لبروتوكول الإنترنت IPv4 المستخدمة من قبل سيرفرات الأوامر والتحكم C2، تكرر استخدامها للبنية التحتية التي سبق استخدامها من قبل ذات المجموعة.
ونلاحظ أن التقنيات والإجراءات المتبعة والمستخدمة من قبل المجموعة قد تغيرت بدرجة بسيطة خلال الهجمات الأخيرة. فتكرار استخدام الأداة والبنية التحتية التي سبق استخدامها خلال الهجمات السابقة بات واضحاً. وعند الأخذ بعين الاعتبار مواصلة الجهة المهاجمة لعملياتها رُغم اكتشافهم وكشفهم أمام الرأي العام، فعلى الأرجح أنها ستواصل عملياتها إلى جانب إطلاق المزيد من الهجمات ذات الأهداف المحددة.
لذا، سيواصل باحثوا وخبراء شركة بالو ألتو نتوركس رصد ومراقبة أنشطة هذه المجموعة، ومواكبة الهجمات المتسلسلة والإضافية التي تقوم باستخدام هذه المجموعة من الأدوات.