Deadglyph هجوم سيبرانى ببنية مختلفة يستهدف الشرق الأوسط

مقدمة

أعلن باحثو الأمن السيبرانى عن هجوم سيبرانى جديد يسمى  Deadglyph وهوBackdoor Attack  اطلقه مجموعة من  ممثلي الهجوم التي تدعىStealth Falcon  كجزء من حملة تجسس إلكتروني.

بنية غير مألوفة لـ Deadglyph  أثارت مخاوف الباحثين

أقرت ESET في تقرير شاركته مع موقع الHacker News  The  تتميز بنية Deadglyph بأنها غير عادية لأنها تتكون من   ملف  native x64 binary(هذا يعني أن البرنامج تم تصميمه لأجهزة بمواصفات هاردوير ونظام تشغيل  محددة التي يمكن تشغيل هذا البرنامج عليها) والآخر مجموعة .NET  (عبارة عن نظام open source لإنشاء تطبيقات والبرامج  التي يمكن تشغيلها على أي نظام تشغيل) .

 وكان وجود اكثر من لغة برمجة مستخدمة بهذا البرنامج الخبيث غير معتاد حيث اعتدنا على استخدام لغة برمجة واحدة فقط  بأى برنامج خبيث ، و يشير ذلك برغبة منفذى هذا التهديد فى الاستفادة من مميزات كل لغة على حدا ، كما اشار بعض الباحثين انه قد يكون تعمد منفذى التهديد هذا لجعل عملية تحليل  هذا البرنامج الخبيث اكتر صعوبة وبالتالى  صعوبة التخلص منه وايجاد حلول لتجنبه .

و كان على عكس الـ backdoors المعتادة الأخرى ، فهو لا يأتي مع أوامر محددة مسبقًا مثل البرامج الضارة التقليدية، وبدلاً من ذلك، فهو يجلب تعليماته (Commands)  من خادم بعيد(Remote server)، مما يمنحه طبيعة مرنة وقابلة للتكيف.

من هى Stealth Falcon APT ؟

تم الكشف عن  مجموعة Stealth Falcon (المعروف أيضًا باسم FruityArmor) لأول مرة من قبل Citizen Lab في عام 2016 وبدأت نشاطات هذه المجموعة من 2012، وكان اكتشافها مرتبطا  بهجمات تجسس إلكتروني مستهدفة في الشرق الأوسط والتي استهدفت الصحفيين والناشطين والمعارضين في الإمارات العربية المتحدة عن طريق استخدام إغراءات التصيد الاحتيالي التي تتضمن روابط مفخخة تشير إلى مستندات ذات روابط كبيرة لتقديم طعم قادر على تنفيذ أوامر عشوائية. وهناك اقتراحات بأن Stealth Falcon ومجموعة أخرى تسمى Project Raven هما نفس الشيء بناءً على التداخل في التكتيكات والاهداف.

وقد تم ربط نشاطات مجموعة Stealth Falcon APT منذ ذلك الحين باستغلال الثغرات الأمنية فيWindows مثل CVE-2018-8611  و  CVE-2019-0797 ، وكانت معظمهاzero-day exploitation.

لاحظت Mandiant ايضا في أبريل 2020 أن ممثل هذا الهجوم  استخدم ثغرات zero-day exploitation أكثر من أي مجموعة أخرى خلال الفترة الزمنية من 2016 إلى 2019.

كشفت  ESET في نفس الوقت تقريبا عن استخدام منفذى الهجوم  لـBackdoor  يسمى Win32 / StealthFalcon  والذي تم اكتشاف أنه يستخدم خدمة التنقل الذكي في الخلفية في Windows (BITS) للاتصالات اللازمة لارسال اوامر  والتحكم (C2) ولضمان الحصول على التحكم الكامل في الـEndpoint devices .

ماهى اخر عمليات Stealth Falcon APT؟ 

Deadglyph هو أحدث عمليات الهجوم التى قامت بها مجموعة منفذى الهجوم  Stealth Falcon، وفقًا لشركة الأمن السيبراني السلوفاكية ، والتي حللت اختراقًا في كيان حكومي لم يتم تسميته في الشرق الأوسط.

طريقة عمل Deadglyph

طريقة عمل  Deadglyph عبارة عن سلسلة معقدة من الأحداث ولكن المكون الأولي الذي ينشط تنفيذها هو shellcode loader الذي يستخرج ويحمل shellcode  من سجلات الـ Windows، والذي يقوم بعد ذلك بتشغيل وحدة Deadglyph's native x64 ، والمشار إليها باسم Executor. الأمر الفريد هو أن initial loader  يوجد فقط كملف على كمبيوتر الضحية؛ ويظل الباقي مشفرًا  داخل السجلات.على الرغم من أن الطريقة الدقيقة التى يصيب بها هذا البرنامج الخبيث الاجهزة مازالت غير واضحة، إلا أنه يشتبه في أن installer component  يلعب دورًا في إدخال التعليمات البرمجية الضارة إلى نظام الضحية.

دور الـ  Orchestratorفى هذا الهجوم

ثم ينتقل Executorالـ إلى تحميل مكون .NET يُعرف باسم Orchestrator يتواصل بدوره مع خادم القيادة والتحكم (C2) لانتظار مزيد من التعليمات. و يتم وضع الأوامر المستقبلة من الخادم في قائمة انتظار للتنفيذ ويمكن أن تندرج في واحدة من ثلاث فئات: مهام الـ Orchestrator ، ومهام الـ Executor ، ومهام الـ  Upload .

الاتصالات والأوامر(Communication and Commands)

وفقًا لتقريرESET، يستخدم Deadglyph وحدتين مضمنتين(embedded modules)،و هما الـ Timer و الـ Network للتواصل مع خادمه البعيد(remote server).  تقوم وحدة الـ Timer بتنفيذ المهام على فترات زمنية محددة، بينما تتولى وحدة الـ  Networkالاتصال بالخادم. يتمكن Deadglyph أيضًا من القدرة على إلغاء تثبيت نفسه إذا فقد الاتصال بالخادم لفترة ممتدة معينة.

تتضمن بعض مهام الـ Executor   ايضا إنشاء العمليات وقراءة الملفات وجمع بيانات نظام التشغيل. يتم استخدام وحدة الـ Timer لمسح خادم C2 بشكل دوري بالاشتراك مع وحدة الـ Network . والتي تنفذ اتصالات C2 باستخدام POST HTTPS Requests.

Upload tasks كما يوحي الاسم، يسمح للباب الخلفي بتحميل مخرجات الأوامر والأخطاء (commands and errors).

قالت ESET إنها حددت أيضًا ملف لوحة تحكم (CPL) تم تحميله إلى VirusTotal من قطر. والذي يقال إنه يعمل كنقطة انطلاق لسلسلة متعددة  من المراحل الى تمهد لـ shellcode downloader و الذى به  بعض أوجه التشابه في الكود مع Deadglyph.

بينما لا يزال طبيعة الـ shellcode المسترجع من خادم  C2غير واضحة  فقد تم الافتراض حاليا  بأن المحتوى يمكن أن يعمل كبرنامج تثبيت للـDeadglyph   .

سبب تسمية هذا الـBackdoor  بهذا الاسم

اطلق اسمDeadglyph  على هذا الـBackdoor  نسبة لوجود (hexadecimal IDs 0xDEADB001 and 0xDEADB101 )وهى لازمة لوحدة الـ Timer وإعداداتها ، واقترانه  بوجود هجوم مطابق ينتحل شخصية  Ϻicrοsοft Corpоratiоn في shellcode loader's VERSIONINFO الخاص  بالسجل الوارد.

الخاتمة

وفى النهاية نود انا نأكد على أهمية اتخاذ المؤسسات خطوات لتعزيز دفاعاتها ضد الهجمات الإلكترونية ، بما في ذلك تحديث البرامج باستمرار وتطبيق أحدث الإجراءات الأمنية.

المصادر 

• Deadglyph: New Advanced Backdoor with Distinctive Malware Tactics (thehackernews.com)