برامج MixShell الضارة

كشف باحثو الأمن السيبراني عن عملية هندسة اجتماعية متطورة، تُعرف باسم ZipLine، تستغل برمجية خبيثة خفية تُخزن في الذاكرة تُعرف باسم MixShell. تستهدف هذه الحملة في المقام الأول شركات التصنيع ذات الأهمية الحيوية لسلسلة التوريد، وتمثل اتجاهًا متزايدًا للمهاجمين الذين يستغلون سير عمل الشركات الموثوقة بدلًا من أساليب التصيد الاحتيالي التقليدية.

من نماذج الاتصال إلى الحلول الوسطية

بخلاف هجمات التصيد الاحتيالي التقليدية عبر رسائل البريد الإلكتروني غير المرغوب فيها، يبدأ مشغلو ZipLine هجومهم عبر نموذج "اتصل بنا" الخاص بالشركة. هذا النهج الماكر يُرسخ المصداقية منذ البداية. يلي ذلك تبادلٌ لرسائل احترافية ومقنعة على مدى أسابيع، غالبًا ما تُعززها اتفاقيات عدم إفصاح مُلفقة، قبل أن يُرسل المهاجمون ملف ZIP خبيثًا يحمل MixShell.

هذا الأسلوب المُعتمد على بناء الثقة يُميّز ZipLine عن الحملات التخويفية. في بعض الحالات، يُصوّر المهاجمون نهجهم حول مبادرات تعتمد على الذكاء الاصطناعي، مُقدّمين أنفسهم كشركاء يُمكنهم المساعدة في خفض التكاليف وزيادة الكفاءة.

من هو في مرمى النيران؟

تستهدف ZipLine نطاقًا واسعًا، لكنها تركز على المؤسسات الأمريكية العاملة في قطاعات حيوية لسلسلة التوريد. وتشمل المناطق الأخرى المتأثرة سنغافورة واليابان وسويسرا.

وتشمل القطاعات المستهدفة الرئيسية ما يلي:

• التصنيع الصناعي (الآلات، والأعمال المعدنية، والمكونات، والأنظمة الهندسية)
• الأجهزة وأشباه الموصلات
• التكنولوجيا الحيوية والأدوية
• إنتاج السلع الاستهلاكية

يستخدم المهاجمون أيضًا نطاقات تُحاكي شركات ذات مسؤولية محدودة مسجلة في الولايات المتحدة، ويعيدون أحيانًا استخدام نطاقات شركات مشروعة ولكنها غير نشطة. تشير هذه المواقع المستنسخة إلى عملية واسعة النطاق ومنظمة للغاية.

تشريح سلسلة الهجوم

يكمن نجاح ZipLine في عملية إصابة متعددة المراحل مصممة للتخفي والاستمرار. عادةً ما تُستضاف أرشيفات ZIP المُسلّحة على Herokuapp.com، وهي خدمة سحابية موثوقة، مما يُساعد البرامج الضارة على الاختلاط بنشاط الشبكة العادي.

تتضمن عملية العدوى ما يلي:

• يؤدي اختصار Windows (LNK) داخل ZIP إلى تشغيل محمل PowerShell.

روابط لأنشطة التهديد السابقة

حدد الباحثون تداخلات بين الشهادات الرقمية المستخدمة في البنية التحتية لشركة ZipLine وتلك المرتبطة بهجمات TransferLoader المنسوبة إلى مجموعة التهديد UNK_GreenSec. ورغم أن الإسناد لا يزال غير مؤكد، إلا أن هذا الارتباط يُشير إلى جهة فاعلة منظمة وذكية ذات خبرة سابقة في الحملات واسعة النطاق.

مخاطر حملة ZipLine

قد تكون عواقب الإصابة الناجحة بـ MixShell وخيمة، بدءًا من سرقة الملكية الفكرية واختراق البريد الإلكتروني للشركات، وصولًا إلى حوادث برامج الفدية وتعطيل سلسلة التوريد. ونظرًا لطبيعة القطاعات المستهدفة، قد يمتد التأثير إلى ما هو أبعد من الشركات الفردية ليشمل أنظمة الإنتاج بأكملها.

التدابير الدفاعية: البقاء في طليعة التهديدات المصممة اجتماعيًا

تسلط حملة ZipLine الضوء على كيفية قيام مجرمو الإنترنت بالابتكار، والاستفادة من علم النفس البشري، وقنوات الاتصال الموثوقة، والموضوعات المتعلقة بالذكاء الاصطناعي لاستغلال الثقة.

ولمواجهة مثل هذه التهديدات، يتعين على المنظمات أن:

• اعتماد مبدأ الوقاية أولاً، والدفاعات القادرة على اكتشاف السلوكيات الشاذة.
• قم بتدريب الموظفين على التعامل مع كل استفسار وارد بتشكك، بغض النظر عن القناة المستخدمة.
• فرض سياسات صارمة للتعامل مع الملفات، وخاصة فيما يتعلق بأرشيفات ZIP وملفات الاختصار.
• تعزيز مراقبة تشوهات الاتصالات المستندة إلى DNS والتي قد تشير إلى الأنفاق.

بناء ثقافة اليقظة أمرٌ بالغ الأهمية. فالثقة، بمجرد استغلالها، تُصبح من أكثر الأدوات فعاليةً في ترسانة المهاجمين.