هجمات تجسس جديدة تستهدف الهند عبر ويندوز ولينكس

رصدت تقارير أمنية حديثة حملات تجسس إلكتروني مكثفة تستهدف القطاع الدفاعي في الهند، مستخدمة برمجيات خبيثة متطورة تعمل عبر أنظمة ويندوز ولينكس لسرقة البيانات الحساسة.

ما هي الجهات التي تقف وراء هذه الهجمات؟

تتميز هذه الحملات باستخدام عائلات برمجيات خبيثة متقدمة، وغالباً ما تُنسب هذه الأنشطة إلى مجموعات تهديد متحالفة مع باكستان، وتحديداً:

• مجموعة SideCopy النشطة منذ عام 2019.
• مجموعة APT36 المعروفة أيضاً باسم Transparent Tribe.

وفقاً لتحليلات الأمن الرقمي التي تابعها فريق تيكبامين، تعمل مجموعة SideCopy كفرع من Transparent Tribe، حيث لا تقوم هذه المجموعات بإعادة اختراع أساليب التجسس، بل تعمل على صقلها وتطويرها لتصبح أكثر فاعلية وتخفياً.

كيف تعمل برمجيات Geta RAT و Ares RAT؟

تعتمد الحملات الجديدة على توسيع تغطيتها لتشمل منصات متعددة، مع التركيز على التقنيات المقيمة في الذاكرة لتجنب الكشف. وتتضمن الترسانة البرمجية المستخدمة العائلات التالية:

• Geta RAT: مصمم لجمع معلومات النظام وقوائم العمليات.
• Ares RAT: يتيح الوصول عن بعد وتنفيذ الأوامر.
• DeskRAT: يسهل عمليات ما بعد الاختراق طويلة الأمد.

تعمل هذه البرمجيات بتناغم لتوفير وصول مستمر عن بعد، وتمكين استطلاع النظام، وتنفيذ الأوامر عبر بيئات التشغيل المختلفة سواء كانت ويندوز أو لينكس.

ما هي طرق الاختراق المستخدمة في الحملة؟

القاسم المشترك في جميع هذه الحملات هو استخدام رسائل البريد الإلكتروني التصيدية التي تحتوي على مرفقات ضارة أو روابط تنزيل مدمجة تقود الأهداف المحتملة إلى بنية تحتية يسيطر عليها المهاجمون.

تسلسل الهجوم التقني

تتضمن آليات الوصول الأولي استخدام اختصارات ويندوز (LNK) وملفات ELF الثنائية، وتتم العملية كالتالي:

• يقوم ملف LNK ضار باستدعاء "mshta.exe" لتنفيذ ملف تطبيق HTML (HTA).
• يحتوي ملف HTA على كود JavaScript لفك تشفير حمولة DLL مدمجة.
• تقوم الحمولة بمعالجة بيانات مدمجة لكتابة ملف PDF وهمي على القرص.
• يتصل البرنامج الخبيث بخادم القيادة والتحكم (C2) لعرض الملف الوهمي المحفوظ.

كيف تحمي البرمجيات الخبيثة نفسها؟

بعد عرض مستند الطعم، يقوم البرنامج الخبيث بفحص منتجات الأمان المثبتة على الجهاز ويكيف طريقة ثباته وفقاً لذلك قبل نشر Geta RAT على المضيف المخترق.

يدعم Geta RAT أوامر متعددة لجمع معلومات النظام، وسرد التطبيقات المثبتة، وجمع بيانات الاعتماد، واسترجاع واستبدال محتويات الحافظة، مما يشكل خطراً كبيراً على سرية البيانات في المؤسسات المستهدفة.