كشف فريق البحث والتحليل العالمي (GReAT) في كاسبرسكي عن حملة إلكترونية خبيثة جديدة تشارك فيها برمجية حصان طروادة (PipeMagic)، وتستهدف الشركات في المملكة العربية السعودية، ويستخدم المهاجمون في هذه الحملة نسخة مزيفة من تطبيق ChatGPT، كطعم لجذب الضحايا.

ثم ينشرون بابًا خلفيًا يقوم باستخراج البيانات الحساسة وتمكين الوصول الكامل من بُعد إلى الأجهزة المخترقة. وتعمل تلك البرمجية الخبيثة كبوابة عبور أيضًا، تسمح بدخول برمجيات خبيثة إضافية وإطلاق مزيد من الهجمات عبر شبكة الشركة.

كيف تعمل الحملة؟

اكتشفت كاسبرسكي برمجية الباب الخلفي (PipeMagic) أول مرة في عام 2022، إذ كانت البرمجية هي حصان طروادة قائم على دعم الإضافات، وكانت تستهدف الكيانات في آسيا آنذاك.

كما تتمتع البرمجية بالقدرة على العمل كباب خلفي أو بوابة عبور على حد سواء. وفي سبتمبر 2024، لاحظ فريق (GReAT) في كاسبرسكي عودة نشاط PipeMagic من جديد، فقد استهدفت هذه المرة مؤسسات داخل المملكة العربية السعودية.

ويستخدم هذا الإصدار من الباب الخلفي تطبيقًا مزيفًا من ChatGPT، أُنشئ باستخدام لغة البرمجة Rust. وللوهلة الأولى، يبدو التطبيق مشروعًا، إذ إنه يحتوي على عدة مكتبات Rust شائعة ومستخدمة في العديد من التطبيقات الأخرى المستندة إلى هذه اللغة البرمجية.

ومع ذلك، عند التنفيذ، يعرض التطبيق شاشة فارغة بدون واجهة مرئية، ويُخفي وراء ذلك 105,615 بايت من البيانات المشفرة، التي تحمل برمجيات خبيثة في الواقع.

في المرحلة الثانية، تشرع البرمجية الخبيثة بالبحث عن وظائف رئيسية لواجهة برمجة التطبيقات في نظام ويندوز، وذلك من خلال البحث في تغييرات الذاكرة الموافقة باستخدام خوارزمية لتجزئة الأسماء. ومن ثم تعمل على تخصيص موارد الذاكرة، وتحميل باب (PipeMagic) الخلفي، وضبط الإعدادات الضرورية، وتقوم بتنفيذ البرمجية الخبيثة.

ومن بين المزايا الفريدة لبرمجية PipeMagic هو أنها تولد مجموعة عشوائية بحجم 16 بايت لإنشاء مجرى معنون يتخذ التنسيق (\\. \pipe\1.)، وتولد مسارًا يقوم بإنشاء هذا المجرى باستمرار، فيقرأ البيانات منه، ثم يدمره.

ويُستخدم هذا المجرى لاستقبال الحمولات المشفرة وإشارات الإيقاف عبر الواجهة المحلية الافتراضية. وعادة ما تعمل برمجية (PipeMagic) رفقة عدد من الإضافات التي تُنزل من خادم قيادة وتحكم (C2)، وقد اُستضاف الخادم على سحابة (Microsoft Azure) هذه المرة.

أهداف المهاجمين من هذه الحملة:

يهدف المهاجمون من وراء هذه الحملة إلى:

• سرقة البيانات الحساسة: مثل المعلومات المالية والبيانات الشخصية.
• التجسس على أنشطة الشركات: من خلال التحكم في الأجهزة المخترقة.
• تخريب الأنظمة: عن طريق إدخال برامج خبيثة أخرى.

وتعليقًا على ذلك، قال  سيرجي لوزكين، الباحث الأمني الرئيسي في فريق GREAT في كاسبرسكي: «يطوّر مجرمو الإنترنت إستراتيجياتهم باستمرار للوصول إلى المزيد من الضحايا وتوسيع نطاق حضورهم، وهو ما يتضح من التوسع الأخير لبرمجية حصان طروادة PipeMagic من آسيا إلى المملكة العربية السعودية. وبالنظر إلى قدراتها، فإننا نتوقع أن نرى زيادة في الهجمات التي تستغل هذا الباب الخلفي”.

وصايا خبراء كاسبرسكي:

كي تتجنب الوقوع ضحية لهجوم موجه من قبل مصدر تهديد معروف أو غير معروف، يوصي خبراء كاسبرسكي بتنفيذ الإجراءات التالية:

• توخ الحذر عند تنزيل البرامج من الإنترنت، خاصة إذا كانت من موقع ويب تابع لجهة خارجية. وحاول دائمًا تنزيل البرنامج من الموقع الرسمي للشركة أو الخدمة التي تستخدمها.
• زود فريق مركز العمليات الأمني (SOC) بالوصول إلى أحدث معلومات التهديدات (TI). وتُعدّ منصة Kaspersky Threat Intelligence Portal نقطة وصول فردية لمعلومات التهديدات الخاصة بكاسبرسكي، إذ توفر بيانات ورؤى عن الهجمات السيبرانية جمعتها الشركة على مدار أكثر من 20 عامًا.
• طوّر مهارات فريق الحماية السيبرانية لمواجهة أحدث الهجمات الموجهة باستخدام خدمة التدريب عبر الإنترنت من شركة كاسبرسكي، التي طورها خبراء فريق GReAT.
• استخدم حلول الاكتشاف والاستجابة للنقاط الطرفية (EDR) مثل سلسلة منتجات Kaspersky Next لاكتشاف التهديدات على مستوى النقاط الطرفية، والتحقيق بشأنها، والاستجابة السريعة للحوادث.
• بجانب اعتماد حماية أساسية للنقاط الطرفية، استخدم حلًا أمنيًا على مستوى الشركات يمكنه اكتشاف التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة مثل حل Kaspersky Anti Targeted Attack Platform.
• نظرًا إلى بدء العديد من الهجمات الموجهة بالتصيد الاحتيالي أو أساليب الهندسة الاجتماعية الأخرى، قدم لفريقك تدريبات من شأنها رفع وعيهم الأمني وزودهم بالمهارات العملية، وذلك من خلال منصة Kaspersky Automated Security Awarenss Platform.

تم