كشف خبراء الأمن السيبراني عن حملة تجسس إلكتروني جديدة تعتمد على برمجية LOTUSLITE الخبيثة لاستهداف كيانات حكومية وسياسية أمريكية، مستغلة الأحداث الجيوسياسية في فنزويلا كطعم للإيقاع بالضحايا، وفقاً لمتابعة فريق تيكبامين.
تعتمد الحملة الجديدة على تقنيات الهندسة الاجتماعية الموجهة (Spear Phishing)، حيث يتم إرسال ملفات خبيثة تبدو وكأنها وثائق سياسية هامة لجذب انتباه المستهدفين.
كيف تعمل هجمات LOTUSLITE الجديدة؟
تستغل الحملة التطورات الأخيرة في العلاقات بين الولايات المتحدة وفنزويلا لتوزيع البرمجية الخبيثة. يتم إرسال أرشيف مضغوط يحمل اسم "US now deciding what's next for Venezuela.zip"، والذي يحتوي على ملف DLL ضار.
تعتمد آلية الهجوم على التقنيات التالية:
- تقنية DLL Side-loading: يتم تشغيل البرمجية الخبيثة عبر تحميل مكتبة برمجية ضارة بدلاً من المكتبة الأصلية.
- التمويه السياسي: استخدام ملفات ذات أسماء جذابة تتعلق بالسياسة الخارجية.
- التنفيذ التلقائي: بمجرد فتح الملف، يتم تثبيت الباب الخلفي (Backdoor) على الجهاز.
من يقف وراء هذه الهجمات؟
تشير التحليلات التقنية بثقة متوسطة إلى تورط مجموعة صينية مدعومة من الدولة تُعرف باسم Mustang Panda (والمعروفة أيضاً بأسماء Earth Pret وHoneyMyte). تشتهر هذه المجموعة بأساليبها المتكررة في استخدام تقنية تحميل DLL الجانبي لنشر برمجياتها الخبيثة.
ويرى تيكبامين أن هذا النمط يعكس اتجاهاً مستمراً في الهجمات السيبرانية التي تفضل تقنيات التنفيذ الموثوقة بدلاً من الثغرات المعقدة (Exploits) للوصول الأولي للأنظمة.
البرمجية المستخدمة في الهجوم، والمعروفة باسم "kugou.dll"، هي عبارة عن أداة تجسس مصممة خصيصاً للتواصل مع خادم القيادة والتحكم (C2).
ما هي خطورة برمجية LOTUSLITE؟
على الرغم من بساطة البرمجية مقارنة بغيرها، إلا أنها تمتلك قدرات فعالة تشمل:
- الاتصال بخوادم التحكم باستخدام واجهات Windows WinHTTP.
- تنفيذ أوامر عن بُعد عبر "cmd.exe".
- سرقة البيانات وتسريبها من الأجهزة المصابة.
- تثبيت نفسها في سجل النظام (Registry) لضمان العمل تلقائياً مع كل عملية تسجيل دخول.
التشابه مع برمجيات سابقة
أوضحت التحليلات أن البرمجية تقلد سلوك برمجيات أخرى مثل "Claimloader" من حيث تضمين رسائل استفزازية واستخدام تقنيات تحميل مماثلة. هذا يثبت أن المهاجمين يركزون على الموثوقية التشغيلية لضمان نجاح الاختراق بدلاً من التعقيد البرمجي المفرط.
في الختام، تُظهر هذه الحملة كيف يمكن للتقنيات البسيطة والمجربة جيداً أن تكون فعالة للغاية عندما تقترن بطعوم جيوسياسية ذكية، مما يستدعي الحذر الشديد عند التعامل مع الملفات المرفقة مجهولة المصدر.
