هل تريد نشرة يومية مجانية مخصصة؟ اختر فقط المواضيع التي تهمك ووفّر وقتك.

برمجية SharkLoader تنشر Cobalt Strike بهجمات جديدة

ملخص للمقال
  • برمجية SharkLoader تقود هجمات جديدة ضمن حملة StrikeShark، حيث تُستخدم كأداة تحميل أولية لنشر Cobalt Strike بعد الاختراق داخل الأنظمة المستهدفة.
  • الحملة استهدفت جهات حكومية ودبلوماسية وشركات برمجيات في عدة دول، ما يعكس انتشارًا جغرافيًا واسعًا ويزيد خطورة SharkLoader على القطاعات الحساسة.
  • تبدأ هجمات StrikeShark غالبًا عبر استغلال ثغرات معروفة في خوادم مكشوفة، منها ProxyLogon في Microsoft Exchange وثغرات Openfire وGeoServer للتنفيذ عن بُعد.
  • بعد الدخول الأولي، يحافظ المهاجمون على الوصول باستخدام Web Shells ثم يفعّلون DLL Side-Loading عبر SystemSettings.exe لتحميل ملف SystemSettings.dll المرتبط ببرمجية SharkLoader.
  • استخدام Cobalt Strike Beacon بعد نشر SharkLoader يمنح المهاجمين تنفيذ أوامر إضافية وتوسيع السيطرة، وهو تصعيد تقني أخطر من حملات تحميل البرمجيات التقليدية.
  • مستقبلًا، قد تتوسع هجمات SharkLoader وCobalt Strike مع استمرار استغلال الخوادم غير المحدثة، ما يفرض تسريع التحديثات الأمنية ومراقبة خدمات الإنترنت المكشوفة.
هل تريد نشرة يومية مجانية مخصصة؟ اختر اهتماماتك هنا
برمجية SharkLoader تنشر Cobalt Strike بهجمات جديدة
محتوى المقال
جاري التحميل...

ظهرت برمجية SharkLoader في حملة تجسس إلكتروني جديدة تستهدف جهات حكومية ودبلوماسية وشركات برمجيات، مع استخدام Cobalt Strike بعد الاختراق.

ما هي برمجية SharkLoader ولماذا تثير القلق؟

ترصد شركات الأمن السيبراني حملة هجومية جديدة تحمل اسم StrikeShark، وتعتمد على برمجية SharkLoader كأداة تحميل أولية داخل الأجهزة المخترقة. وبعد تثبيت البرمجية، يبدأ المهاجمون في نشر Cobalt Strike Beacon لتنفيذ أوامر إضافية وتوسيع السيطرة على الأنظمة.

اللافت أن الهجمات لم تركز على قطاع واحد فقط، بل امتدت إلى جهات دبلوماسية ومؤسسات حكومية وشركات تطوير برمجيات في عدة دول. وهذا النمط يشير إلى حملة واسعة جغرافيًا، وليست عملية محدودة الهدف أو قصيرة المدى.

كيف تبدأ هجمات StrikeShark على الضحايا؟

بحسب المعطيات التي تابعها تيكبامين، يبدأ الاختراق غالبًا عبر استغلال ثغرات معروفة في خوادم وخدمات مكشوفة على الإنترنت. ويبدو أن المهاجمين يعتمدون على أدوات استغلال متاحة علنًا للوصول السريع إلى الأهداف الضعيفة.

  • استغلال ثغرة ProxyLogon في Microsoft Exchange للوصول إلى جهة دبلوماسية في إندونيسيا.
  • استغلال ثغرة في Openfire أثرت على شركات تطوير برمجيات في تايوان.
  • استغلال ثغرة تنفيذ أوامر عن بُعد في GeoServer لاستهداف مؤسسة في كولومبيا.
  • استخدام ثغرات إضافية للتنفيذ عن بُعد وتجاوز المصادقة في خوادم مكشوفة.

ماذا يحدث بعد الدخول الأولي؟

بعد تثبيت موطئ قدم أولي، يعمل المهاجمون على الحفاظ على الوصول عبر Web Shells، ثم تفعيل سلسلة DLL Side-Loading باستخدام ملف SystemSettings.exe. في هذه المرحلة يتم تحميل ملف خبيث باسم SystemSettings.dll، وهو ما يمثل فعليًا برمجية SharkLoader.

ما الأدوات التي يستخدمها المهاجمون بعد الاختراق؟

الحملة لا ترتبط بشكل مباشر بمجموعة معروفة حتى الآن، لكن الأدوات المستخدمة بعد الاختراق تكشف مستوى تنظيميًا واضحًا. كما أن بعض الأدوات المفتوحة المصدر المتداولة في الحملة تُستخدم عادة من مطورين ناطقين بالصينية، ما يفتح باب الترجيح دون حسم نهائي.

  • Cobalt Strike Beacon للتحكم عن بُعد والتحرك داخل الشبكة.
  • FScan لفحص البيئة الداخلية واكتشاف الأنظمة والخدمات.
  • Pillager لجمع البيانات وتنفيذ أنشطة ما بعد الاختراق.
  • Web Shells لضمان الاستمرارية وإعادة الدخول لاحقًا.

هل تعتمد SharkLoader على ملفات تنكرية لخداع المستخدمين؟

نعم، فقد استخدمت الحملة أيضًا برامج Dropper مخصصة تتخفى في صورة أدوات تثبيت شرعية أو تطبيقات مألوفة مثل Google Update وCisco AnyConnect. وبعد انتهاء التثبيت الوهمي، يجري تشغيل الحمولة الخبيثة في الخلفية دون لفت الانتباه.

بعض العينات تضمنت ملفات PDF تمويهية لإقناع الضحية بفتح الملف، ما يعكس اعتماد الحملة على المزج بين الاستغلال التقني والهندسة الاجتماعية. ووفقًا لما رصده تيكبامين، فإن طريقة توزيع هذه الملفات التنكرية لا تزال غير معروفة بشكل كامل.

كيف يمكن تقليل خطر برمجية SharkLoader؟

أفضل خطوة دفاعية الآن هي تحديث الخوادم العامة فورًا، خاصة Exchange وOpenfire وGeoServer، مع مراجعة سجلات الأنشطة غير المعتادة. كما ينبغي فحص وجود Web Shells وملفات DLL المشبوهة، لأن برمجية SharkLoader تبدو مصممة لتمهيد الطريق لهجمات أوسع وأكثر خطورة داخل الشبكات.

التعليقات (1)


أضف تعليقك

عدد الأحرف: 0 يدعم: **نص غامق** *مائل* `كود` [رابط](url)

مقالات مقترحة

محتوى المقال
جاري التحميل...