برنامج LoptikMod الخبيث
ظهرت حملة جديدة تُنسب إلى مجموعة DoNot APT، تُظهر استخدام سلالة برمجية خبيثة خفية ومستمرة تُسمى LoptikMod. استُخدمت هذه الأداة في هجوم مُستهدف على وزارة خارجية أوروبية، مما يُشير إلى تحول تركيز المجموعة إلى ما هو أبعد من جنوب آسيا.
جدول المحتويات
جهة تهديد معروفة ذات نطاق متوسع
رُبطت الحملة بفريق DoNot، وهو فريق متطور متخصص في التهديدات المتقدمة المستمرة (APT)، يُعرف بأسماء مستعارة متنوعة، منها APT-C-35، وMint Tempest، وOrigami Elephant، وSECTOR02، وViceroy Tiger. وتعود عمليات هذه المجموعة إلى عام 2016 على الأقل، ولها سجل موثق في استهداف الوكالات الحكومية، ووزارات الخارجية، والهيئات الدفاعية، والمنظمات غير الحكومية، لا سيما في جنوب آسيا وأوروبا.
تاريخيًا، استخدمت DoNot APT برامج ضارة مصممة خصيصًا، وخاصة YTY وGEdit، والتي غالبًا ما يتم نشرها من خلال حملات التصيد الاحتيالي ومرفقات المستندات الضارة.
إغراء الهدف: التصيد الاحتيالي كنقطة دخول
يبدأ الهجوم برسالة تصيد إلكتروني خادعة مُصممة لتبدو وكأنها موثوقة. هذه الرسائل، المُرسلة من حساب Gmail، تنتحل هوية مسؤولين دفاعيين، وتتضمن عناوين تشير إلى زيارة ملحق دفاعي إيطالي إلى دكا، بنغلاديش. والجدير بالذكر أن رسائل البريد الإلكتروني مُنسقة باستخدام HTML مع ترميز UTF-8 لعرض الأحرف الخاصة مثل "é" بشكل صحيح، مما يزيد من مصداقيتها.
يؤدي رابط جوجل درايف المُضمَّن في البريد الإلكتروني إلى تنزيل أرشيف RAR. يحتوي هذا الأرشيف على ملف تنفيذي خبيث مُصمَّم لمحاكاة ملف PDF. عند فتحه، يُفعِّل الملف التنفيذي عملية نشر LoptikMod، وهو حصان طروادة للوصول عن بُعد (RAT) كان حصريًا لمجموعة DoNot APT منذ عام 2018 على الأقل.
داخل برنامج LoptikMod الخبيث
بمجرد تنفيذه، يُدمج LoptikMod نفسه في النظام المُضيف باستخدام مهام مُجدولة للاستمرار. ثم يتصل بخادم قيادة وتحكم عن بُعد (C2) لتنفيذ أنشطة خبيثة مُختلفة. وتشمل هذه الأنشطة:
- إرسال معلومات النظام إلى المهاجمين
- تلقي وتنفيذ الأوامر الإضافية
- تنزيل وحدات ضارة إضافية
- استخراج البيانات الحساسة
لتجنب الكشف وإعاقة التحليل الجنائي، يستخدم LoptikMod تقنيات مكافحة الآلات الافتراضية (VM) وتعتيم ASCII، مما يُصعّب على باحثي الأمن تحليل وظائفه الكاملة. بالإضافة إلى ذلك، يضمن تشغيل نسخة واحدة فقط على الجهاز في أي وقت، مما يمنع التعارضات الداخلية ويُقلل من احتمالية الكشف.
حالة الحملة الحالية والبنية التحتية
مع أن LoptikMod نفسه يتمتع بالكفاءة والمتانة، إلا أن خادم C2 المتورط في الهجوم الأخير غير نشط حاليًا. قد يعني هذا الخمول أن البنية التحتية قد تم إيقافها مؤقتًا، أو إغلاقها نهائيًا، أو استبدالها بخادم جديد غير مكتشف.
تحد حالة عدم نشاط الخادم من قدرة الباحثين على تحليل الأوامر والبيانات الدقيقة المتبادلة بين نقاط النهاية المصابة والمهاجمين.
علامات التحول الاستراتيجي: الأهداف الأوروبية في دائرة الضوء
يُظهر نشاط مجموعة DoNot APT الأخير تطورًا ملحوظًا. فبينما ركّزت المجموعة تقليديًا على مصالح جنوب آسيا، تُظهر هذه العملية الأخيرة اهتمامًا متزايدًا بالاستخبارات الدبلوماسية الأوروبية، لا سيما تلك المتعلقة بجنوب آسيا.
يُرجَّح أن يُشير هذا التحوّل إلى تعزيز القدرات العملياتية وأهداف استخباراتية أكثر طموحًا. وربما يسعى مُدبِّرو المجموعة إلى فهم الاستراتيجيات الدبلوماسية الغربية، وسياساتها الدفاعية، وتفاعلاتها الدولية مع جنوب آسيا.
النقاط الرئيسية
للتخفيف من حدة هذه الهجمات بفعالية، ينبغي على المؤسسات البدء بتثقيف موظفيها للتعرف على محاولات التصيد الاحتيالي، حتى عندما تبدو الرسائل مشروعة للغاية. ومن المهم أيضًا مراقبة الأنظمة باستمرار بحثًا عن أي سلوك غير اعتيادي، مثل المهام المجدولة غير المتوقعة أو الاتصالات الصادرة بخوادم غير مألوفة، والتي قد تشير إلى وجود اختراق.
بالإضافة إلى ذلك، يُساعد تطبيق أدوات الحماية والتحليل السلوكي على اكتشاف الملفات التنفيذية المشبوهة وإبطال مفعولها قبل أن تُسبب ضررًا. ويضمن تحديث الأنظمة بالكامل ودمج أحدث معلومات استخبارات التهديدات معالجة الثغرات الأمنية المعروفة على الفور. وأخيرًا، يُمكن لتجزئة الشبكة أن تُقلل بشكل كبير من خطر انتشار البرامج الضارة، مما يُساعد على احتواء الاختراقات المحتملة بفعالية أكبر.
الخلاصة: اليقظة ضرورية
يُعدّ استخدام مجموعة DoNot APT لبرمجية LoptikMod في حملة تجسس إلكتروني أوروبية تذكيرًا صارخًا بتطور مشهد التهديدات. ومع استمرار مجموعات APT في تحسين أدواتها وتوسيع نطاق استهدافها، لا سيما للأصول الدبلوماسية عالية القيمة، يجب على المؤسسات أن تظل يقظةً واستباقيةً في دفاعاتها الأمنية السيبرانية.
