برمجية Speagle الخبيثة تستغل خوادم Cobra DocGuard المخترقة لتهريب البيانات، ما يرفع مخاطر الهجمات عبر سلسلة التوريد على المؤسسات.
تشير التحقيقات إلى أن المهاجمين سيطروا على خادم كوبرا دوك جارد ليبدو الاتصال شرعياً، وهو ما دفع تيكبامين لمتابعة التحذير. بهذه الطريقة تمرر البيانات كأنها تواصل طبيعي بين العميل والخادم.
كيف تعمل برمجية Speagle الخبيثة داخل كوبرا دوك جارد؟
البرنامج عبارة عن ملف .NET بنواة 32 بت يعمل في الخلفية دون لفت الانتباه. عند التشغيل يفحص مجلد التثبيت للتأكد من وجود Cobra DocGuard قبل تفعيل المراحل التالية. بعدها يضبط نفسه ليحاكي سلوك خدمات النظام.
بعد التحقق، يعتمد على خادم Cobra DocGuard المخترق كقناة تحكم وسيطرة وإرسال. كما يستدعي برنامج تشغيل مرتبط بالحماية لمسح نفسه من الجهاز بعد الانتهاء. هذا السلوك يقلل فرص التحليل الجنائي.
- التحقق من نسخة Cobra DocGuard وتفاصيلها.
- جمع معلومات النظام والمعرّفات والشبكة الأساسية.
- رفع البيانات على دفعات صغيرة لتقليل الضجيج.
- حذف الأثر باستخدام برنامج التشغيل بعد الإرسال.
ما البيانات التي تستهدفها؟
التحليل يشير إلى أن التركيز على الملفات والبيانات الشخصية في مسارات شائعة، مع تفضيل المعلومات القابلة للاستخدام سريعاً. ويتم جمعها تدريجياً لتفادي الإنذار.
- سجل المتصفح وبيانات الملء التلقائي وكلمات المرور المحفوظة.
- ملفات في مجلدات المستخدم مثل المستندات وسطح المكتب.
- قائمة العمليات والتطبيقات المثبتة وإصدارات النظام.
- معرّفات الجهاز وعناوين الشبكة والمسارات الحساسة.
ما الذي نعرفه عن حملة Runningcrab؟
النشاط يُعرف باسم Runningcrab وما يزال بدون إسناد نهائي لجهة محددة. اللافت أن البرمجية لا تنشط إلا على الأجهزة التي تستخدم Cobra DocGuard، ما يدل على استهداف مقصود وربما تجسس صناعي. هذا يفسر التركيز على شركات تعتمد التشفير لحماية مستنداتها.
فرق التهديد ترجح فرضيتين أساسيتين: جهة مدعومة من دولة أو متعهد خاص يعمل بعقود. هذا النمط المتخصص يقلل الضحايا لكنه يزيد جودة البيانات.
- اختيار ضحايا لديهم البرنامج الأمني نفسه.
- الاعتماد على بنية شرعية للاتصالات بين العميل والخادم.
- توقيتات جمع هادئة لتجنب المراقبة المباشرة.
لماذا تُعد سلسلة التوريد نقطة ضعف خطيرة؟
سوابق عامي 2022 و2023 أظهرت أن تحديثات خبيثة أو نسخ معدلة من Cobra DocGuard يمكن أن تصل إلى شركات في هونغ كونغ وآسيا. لذلك تُعد سلسلة التوريد مجالاً حساساً حتى لدى مزودي الأمن. هذه الحوادث تظهر أن الثقة المفرطة بالتحديثات قد تكون مكلفة.
كيف يُستغل الخادم المخترق؟
Speagle يرسل البيانات إلى خادم شرعي مخترق للبرنامج، فتبدو الحركة طبيعية أمام الجدران النارية وأنظمة المراقبة. كما يتيح ذلك للمهاجمين إخفاء مصدر الأوامر وتفادي حظر النطاقات.
- اتصالات خارجية من خدمة DocGuard في أوقات غير معتادة.
- حزم بيانات صغيرة متكررة بدل نقل دفعة واحدة.
- اختلافات في تواقيع التحديث أو مسارات التثبيت.
- وجود ملفات .NET جديدة داخل مجلدات الحماية.
كيف تحمي المؤسسات نفسها من برمجية Speagle الخبيثة؟
الخطوة الأولى هي تشديد التحقق من تحديثات Cobra DocGuard ومراجعة التواقيع الرقمية. كما يوصى بتفعيل مراقبة سلوك العمليات الخاصة بالبرنامج على مستوى الشبكة. الاستجابة المبكرة توفر وقتاً ثميناً قبل توسع الاختراق.
- عزل خوادم DocGuard ضمن شبكات مقسمة الصلاحيات.
- تفعيل تنبيهات لأي تشغيل غير معتاد لملفات .NET 32 بت.
- مراجعة صلاحيات برنامج التشغيل ومنع حذفه للسجلات.
- تدقيق سجلات الوصول للمتصفحات والملفات الحساسة.
- اختبار تحديثات المورد في بيئة معزولة قبل النشر.
يشير تيكبامين إلى أن مواجهة برمجية Speagle الخبيثة تتطلب برامج استجابة سريعة ومراجعة الموردين بشكل دوري، لأن هذا النوع من الهجمات يجمع بين التخفي والدقة.
