دراغون ويف: هجوم سيبراني صيني يضرب تايوان والتشيك

تعرضت مؤسسات في تايوان والتشيك لسلسلة هجمات سيبرانية متطورة ضمن حملة "دراغون ويف"، تهدف للتجسس وسرقة البيانات الحساسة عبر برمجيات خبيثة معقدة.

وفقاً لما تابعه فريق تيكبامين، فإن هذه الحملة الجديدة تستهدف بشكل مباشر المسؤولين والمواطنين في جمهورية التشيك وتايوان، بهدف نشر عميل متطور للتحكم عن بُعد يسمى AdaptixC2. وقد شملت قائمة الأهداف قطاعات حيوية وحساسة للغاية، مما يعكس مدى خطورة هذا التهديد السيبراني المتنامي.

ما هو هجوم دراغون ويف وكيف بدأ؟

تشير التقارير التقنية إلى أن حملة "دراغون ويف" تستهدف قطاعات متنوعة تشمل الجهات الحكومية، ومراكز الأبحاث، والمؤسسات الأكاديمية، بالإضافة إلى شركات التكنولوجيا والخدمات المالية. تعتمد الاستراتيجية الأساسية للمهاجمين على إرسال رسائل بريد إلكتروني احتيالية (Spear-phishing) تحتوي على ملفات ZIP مضغوطة.

بمجرد قيام الضحية بفك ضغط الملف، تبدأ سلسلة عدوى منظمة ومصممة بعناية لتنفيذ برمجيات خبيثة في خلفية النظام دون لفت انتباه المستخدم. وقد صرح باحثون أمنيون بأن الأرشيف يحتوي على ملفات تبدو شرعية للوهلة الأولى، لكنها في الواقع جزء من هيكل معقد يهدف إلى سرقة البيانات والتحكم الكامل في الجهاز.

كيف تعمل سلسلة العدوى في هجمات دراغون ويف؟

تستخدم الهجمات مسارين مختلفين لإطلاق البرمجية الخبيثة النهائية، مما يزيد من فرص نجاح الاختراق:

• المسار الأول: يبدأ عندما يفتح المتلقي ملف اختصار Windows (LNK) مفخخ يتنكر في هيئة مستند PDF. يؤدي هذا إلى تشغيل سكربت PowerShell المسؤول عن استخراج ملف تنفيذي يدعى RuntimeBroker_update.exe وتشغيله.
• المسار الثاني: يقوم الضحية بتشغيل ملف ثنائي مباشرة من الأرشيف، وهو عبارة عن برنامج تحميل مبني بلغة Rust يقوم بإطلاق الملف التنفيذي نفسه.

استخدام لغة Rust وتقنيات التخفي

بغض النظر عن المسار المتبع، يتم استخدام تقنية "تحميل DLL الجانبي" (DLL side-loading) لتحميل مكتبة خبيثة تسمى UnityPlayer.dll. يؤدي هذا النشاط إلى نشر محمل خبيث مبني بلغة Rust يسمى RUSTCLOAK، والذي يقوم بفك تشفير وتشغيل الحمولة الرئيسية للهجوم.

تم تصميم هذا المحمل لإجراء فحوصات دقيقة لبيئة التشغيل، حيث يتوقف عن العمل إذا اكتشف أنه يتم تشغيله داخل بيئة اختبارية (Sandbox) أو تحت مراقبة المحللين الأمنيين، وهو ما يزيد من صعوبة رصده وتحليله من قبل خبراء الأمن الرقمي.

ما هي قدرات برمجية AZUREVEIL الخبيثة؟

الحمولة النهائية التي يتم زرعها في الجهاز تسمى AZUREVEIL، وهي عميل لـ AdaptixC2 يتمتع بقدرات هائلة للتحكم والتجسس. ووفقاً لتقرير رصده تيكبامين، تدعم هذه البرمجية 36 أمراً مختلفاً تمنح المهاجم سيطرة مطلقة على الجهاز المخترق، ومن أبرز هذه القدرات:

• إدارة العمليات (Process enumeration) وإنهاؤها قسرياً.
• تنفيذ عمليات كاملة على الملفات، بما في ذلك الرفع والتحميل والمسح.
• تشغيل أوامر النظام مباشرة عبر الـ Shell.
• إدارة خوادم التحكم والسيطرة وتوجيه المنافذ (Port forwarding).
• استخدام بروكسي SOCKS للتمويه وتجاوز القيود الأمنية.
• تنفيذ الأكواد البرمجية مباشرة في الذاكرة لتجنب الكشف التقليدي.

استخدام سحابة مايكروسوفت في التجسس السيبراني

المثير للاهتمام في هجوم "دراغون ويف" هو استغلال خدمة Azure Blob Storage من مايكروسوفت لإدارة عمليات التحكم والسيطرة. يتبع المهاجمون نهج "Dead drop"، حيث لا يتواصل الجهاز المصاب مع المهاجم مباشرة، بل يستخدم الطرفان حاوية تخزين سحابية شرعية لتبادل البيانات والأوامر.

هذا الأسلوب يجعل النشاط الخبيث يبدو وكأنه حركة مرور طبيعية لخدمات سحابية تستخدمها آلاف الشركات حول العالم، مما يسهل على المهاجمين الاختباء لفترات طويلة داخل الشبكات المستهدفة دون إثارة أي شكوك أمنية.

في الختام، تشير التقييمات الأمنية إلى أن حملة "دراغون ويف" تتماشى مع مصالح وتوجهات المجموعات المدعومة من الصين، مما يسلط الضوء على استمرار التوترات الجيوسياسية في الفضاء السيبراني وضرورة تعزيز الدفاعات الرقمية للمؤسسات الحكومية والخاصة على حد سواء.