ظهرت برمجية SharkLoader في حملة تجسس إلكتروني جديدة تستهدف جهات حكومية ودبلوماسية وشركات برمجيات، مع استخدام Cobalt Strike بعد الاختراق.
ما هي برمجية SharkLoader ولماذا تثير القلق؟
ترصد شركات الأمن السيبراني حملة هجومية جديدة تحمل اسم StrikeShark، وتعتمد على برمجية SharkLoader كأداة تحميل أولية داخل الأجهزة المخترقة. وبعد تثبيت البرمجية، يبدأ المهاجمون في نشر Cobalt Strike Beacon لتنفيذ أوامر إضافية وتوسيع السيطرة على الأنظمة.
اللافت أن الهجمات لم تركز على قطاع واحد فقط، بل امتدت إلى جهات دبلوماسية ومؤسسات حكومية وشركات تطوير برمجيات في عدة دول. وهذا النمط يشير إلى حملة واسعة جغرافيًا، وليست عملية محدودة الهدف أو قصيرة المدى.
كيف تبدأ هجمات StrikeShark على الضحايا؟
بحسب المعطيات التي تابعها تيكبامين، يبدأ الاختراق غالبًا عبر استغلال ثغرات معروفة في خوادم وخدمات مكشوفة على الإنترنت. ويبدو أن المهاجمين يعتمدون على أدوات استغلال متاحة علنًا للوصول السريع إلى الأهداف الضعيفة.
- استغلال ثغرة ProxyLogon في Microsoft Exchange للوصول إلى جهة دبلوماسية في إندونيسيا.
- استغلال ثغرة في Openfire أثرت على شركات تطوير برمجيات في تايوان.
- استغلال ثغرة تنفيذ أوامر عن بُعد في GeoServer لاستهداف مؤسسة في كولومبيا.
- استخدام ثغرات إضافية للتنفيذ عن بُعد وتجاوز المصادقة في خوادم مكشوفة.
ماذا يحدث بعد الدخول الأولي؟
بعد تثبيت موطئ قدم أولي، يعمل المهاجمون على الحفاظ على الوصول عبر Web Shells، ثم تفعيل سلسلة DLL Side-Loading باستخدام ملف SystemSettings.exe. في هذه المرحلة يتم تحميل ملف خبيث باسم SystemSettings.dll، وهو ما يمثل فعليًا برمجية SharkLoader.
ما الأدوات التي يستخدمها المهاجمون بعد الاختراق؟
الحملة لا ترتبط بشكل مباشر بمجموعة معروفة حتى الآن، لكن الأدوات المستخدمة بعد الاختراق تكشف مستوى تنظيميًا واضحًا. كما أن بعض الأدوات المفتوحة المصدر المتداولة في الحملة تُستخدم عادة من مطورين ناطقين بالصينية، ما يفتح باب الترجيح دون حسم نهائي.
- Cobalt Strike Beacon للتحكم عن بُعد والتحرك داخل الشبكة.
- FScan لفحص البيئة الداخلية واكتشاف الأنظمة والخدمات.
- Pillager لجمع البيانات وتنفيذ أنشطة ما بعد الاختراق.
- Web Shells لضمان الاستمرارية وإعادة الدخول لاحقًا.
هل تعتمد SharkLoader على ملفات تنكرية لخداع المستخدمين؟
نعم، فقد استخدمت الحملة أيضًا برامج Dropper مخصصة تتخفى في صورة أدوات تثبيت شرعية أو تطبيقات مألوفة مثل Google Update وCisco AnyConnect. وبعد انتهاء التثبيت الوهمي، يجري تشغيل الحمولة الخبيثة في الخلفية دون لفت الانتباه.
بعض العينات تضمنت ملفات PDF تمويهية لإقناع الضحية بفتح الملف، ما يعكس اعتماد الحملة على المزج بين الاستغلال التقني والهندسة الاجتماعية. ووفقًا لما رصده تيكبامين، فإن طريقة توزيع هذه الملفات التنكرية لا تزال غير معروفة بشكل كامل.
كيف يمكن تقليل خطر برمجية SharkLoader؟
أفضل خطوة دفاعية الآن هي تحديث الخوادم العامة فورًا، خاصة Exchange وOpenfire وGeoServer، مع مراجعة سجلات الأنشطة غير المعتادة. كما ينبغي فحص وجود Web Shells وملفات DLL المشبوهة، لأن برمجية SharkLoader تبدو مصممة لتمهيد الطريق لهجمات أوسع وأكثر خطورة داخل الشبكات.