عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة برنامج SNOW الخبيث

برنامج SNOW الخبيث

بواسطة Mezo في البرمجيات الخبيثة, التهديد المستمر المتقدم (APT)
ترجمة الى:

تم رصد مجموعة تهديدات غير موثقة سابقًا، تحمل اسم UNC6692، تستخدم تقنيات هندسة اجتماعية متقدمة عبر برنامج مايكروسوفت تيمز لنشر إطار عمل برمجي خبيث مخصص يُعرف باسم SNOW Malware. ينتحل المهاجمون باستمرار صفة موظفي الدعم الفني، ويقنعون الضحايا بقبول دعوات الدردشة الواردة من حسابات خارجية.

يتعزز هذا التضليل بحملة بريد إلكتروني منسقة، حيث يُغرق الضحايا برسائل غير مرغوب فيها لخلق حالة من الاستعجال والارتباك. بعد ذلك بوقت قصير، يتواصل المهاجم عبر برنامج Teams، متظاهرًا بأنه من فريق الدعم التقني، عارضًا المساعدة في حل المشكلة المختلقة. تزيد هذه التكتيكات التلاعبية المزدوجة بشكل كبير من احتمالية استجابة المستخدمين.

تكتيكات قديمة، تأثير حديث

يُحاكي نمط العمليات أساليبَ ارتبطت تاريخيًا بجماعات تابعة لمجموعة "بلاك باستا". ورغم توقف المجموعة عن عمليات برامج الفدية، إلا أن أساليبها لا تزال قائمة وفعّالة. وقد أكد باحثون أمنيون أن هذا النهج يستهدف في المقام الأول المديرين التنفيذيين وكبار الموظفين، مما يُتيح لهم الوصول الأولي إلى الشبكة، الأمر الذي قد يؤدي إلى تسريب البيانات، والتنقل الجانبي، ونشر برامج الفدية، والابتزاز. وفي الحالات المرصودة، كانت المحادثات التي يبدأها المهاجمون تتم في غضون ثوانٍ معدودة، مما يُؤكد على الأتمتة والتنسيق.

نقطة دخول خادعة: الحل الزائف

بخلاف الهجمات التقليدية التي تعتمد فقط على أدوات الإدارة عن بُعد مثل Quick Assist أو Supremo Remote Desktop، تُقدّم هذه الحملة سلسلة إصابة مُعدّلة. يتم توجيه الضحايا للنقر على رابط تصيّد احتيالي مُشارك عبر Teams، مُقدّم على أنه "أداة إصلاح ومزامنة البريد الإلكتروني الإصدار 2.1.5".

يؤدي الرابط إلى تحميل برنامج نصي خبيث مُثبّت على AutoHotkey، مُستضاف على خدمة تخزين سحابي يتحكم بها المهاجم. وتضمن آلية مراقبة وصول الحمولة الخبيثة إلى الأهداف المقصودة فقط، مما يُساعد على تفادي التحليل الأمني الآلي. بالإضافة إلى ذلك، يتحقق البرنامج النصي من استخدام المتصفح، ويفرض استخدام Microsoft Edge من خلال تحذيرات مُستمرة، مما يضمن التوافق مع المكونات الخبيثة اللاحقة.

سنوبيلت: الباب الخلفي الصامت للمتصفح

يقوم البرنامج النصي الأولي بإجراء استطلاع قبل تثبيت SNOWBELT، وهو إضافة متصفح خبيثة مبنية على Chromium. يتم تثبيت SNOWBELT عبر عملية Edge بدون واجهة رسومية باستخدام معلمات سطر أوامر محددة، ويعمل كباب خلفي خفي. يُسهّل تنزيل حمولات إضافية، بما في ذلك SNOWGLAZE وSNOWBASIN، بالإضافة إلى برامج نصية أخرى لـ AutoHotkey، وأرشيف مضغوط يحتوي على بيئة Python محمولة.

في الوقت نفسه، تعرض واجهة التصيد الاحتيالي "لوحة إدارة التكوين" مع ميزة "الفحص الصحي". تحث هذه الواجهة المستخدمين على إدخال بيانات اعتماد البريد الإلكتروني تحت ستار المصادقة، ولكنها في الواقع تقوم بالتقاط البيانات الحساسة وتسريبها إلى بنية تحتية يتحكم بها المهاجم.

نظام بيئي معياري للبرمجيات الخبيثة: تحليل إطار عمل SNOW

تعمل مجموعة برامج SNOW الخبيثة كنظام بيئي منسق ووحداتي مصمم من أجل الاستمرارية والتحكم والتخفي:

  • يعمل SNOWBELT كجهاز ترحيل أوامر قائم على JavaScript، حيث يستقبل التعليمات من المهاجم ويعيد توجيهها للتنفيذ.
  • يعمل برنامج SNOWGLAZE كأداة نفقية تعتمد على لغة بايثون، حيث يقوم بإنشاء اتصال WebSocket آمن بين الشبكة المخترقة وخادم التحكم والسيطرة الخاص بالمهاجم.
  • يعمل برنامج SNOWBASIN كباب خلفي دائم، مما يتيح تنفيذ الأوامر عن بعد، ونقل الملفات، والتقاط لقطات الشاشة، والإزالة الذاتية، بينما يعمل كخادم HTTP محلي على منافذ متعددة.

ما بعد الاستغلال: توسيع نطاق السيطرة واستخراج البيانات

بعد الاختراق الأولي، يقوم المهاجم بتنفيذ سلسلة من الإجراءات لتعميق الوصول واستخراج معلومات قيّمة:

يتم إجراء استطلاع الشبكة عن طريق مسح المنافذ الحيوية، يليه التحرك الجانبي باستخدام الأدوات الإدارية وجلسات سطح المكتب البعيد التي يتم تمريرها عبر الأنظمة المخترقة.

يتم تحقيق تصعيد الامتيازات عن طريق استخراج ذاكرة العمليات الحساسة، مما يتيح جمع بيانات الاعتماد والوصول غير المصرح به إلى الأنظمة ذات المستوى الأعلى.

تُستخدم تقنيات متقدمة مثل Pass-the-Hash لاختراق وحدات التحكم في المجال، وبعد ذلك يتم نشر أدوات الطب الشرعي لجمع البيانات الحساسة، بما في ذلك قواعد بيانات الدليل، والتي يتم استخراجها بعد ذلك باستخدام أدوات نقل الملفات.

التمويه السحابي: مزج حركة المرور الخبيثة مع الخدمات المشروعة

من أبرز سمات هذه الحملة الاستغلال الاستراتيجي للبنية التحتية السحابية الموثوقة. إذ يتم توجيه البرامج الضارة، وتسريب البيانات، واتصالات التحكم والسيطرة عبر منصات سحابية شرعية. يتيح هذا النهج دمج أنشطة التهديد بسلاسة مع حركة مرور البيانات العادية للمؤسسة، متجاوزًا بذلك مرشحات الأمان التقليدية القائمة على السمعة أو كشف الحالات الشاذة.

المشهد المتطور للتهديدات: الثقة كهدف رئيسي

تُسلّط حملة UNC6692 الضوء على تطورٍ ملحوظ في استراتيجيات الهجمات الإلكترونية، إذ تجمع بين الهندسة الاجتماعية، وأدوات المؤسسات الموثوقة، والبرمجيات الخبيثة المعيارية. ومن خلال استغلال ثقة المستخدمين في المنصات والخدمات واسعة الانتشار، يزيد المهاجمون من معدلات نجاحهم مع تقليل فرص اكتشافهم. ويؤكد استمرار الأساليب القديمة إلى جانب آليات التنفيذ المبتكرة حقيقةً بالغة الأهمية: وهي أن استراتيجيات الهجوم الفعّالة يمكن أن تستمر لفترة طويلة بعد اختفاء مُشغّليها الأصليين.

الشائع

الأكثر مشاهدة

جار التحميل...