حصان طروادة StreamSpy
أصبحت حماية الأجهزة الشخصية وأجهزة العمل من البرمجيات الخبيثة الحديثة أكثر أهمية من أي وقت مضى، إذ لا تقتصر تهديدات اليوم على سرقة المعلومات فحسب، بل تشمل أيضًا توسيع نطاق وصول المهاجم إلى أعماق الأنظمة المخترقة بصمت. ومن أحدث الأمثلة على ذلك StreamSpy، وهو حصان طروادة متعدد المراحل مرتبط بمجموعة Patchwork (APT-Q-36). تصميمه المعياري، وأساليب اتصاله الخفية، ومجموعة ميزاته الواسعة تجعله مصدر قلق أمني خطير.
جدول المحتويات
باب خلفي خفي مع قنوات اتصال متقدمة
يتميز StreamSpy باستخدامه كلاً من WebSocket وHTTP للتواصل مع خادم الأوامر. تحمل قنوات WebSocket التعليمات وتنقل النتائج إلى المهاجم في الوقت الفعلي تقريبًا، بينما يتعامل HTTP مع عمليات نقل البيانات الأكبر حجمًا، مثل الملفات المُحمّلة أو المُنزّلة. يُشبه هذا السلوك ما شوهد في مُنزّل Spyder، مما يُشير إلى تقنيات تطوير مُشتركة أو تطوير للأدوات الحالية.
قبل تنفيذ أي إجراءات ضارة، يفتح حصان طروادة مجموعة من قيم التكوين المضمنة. تُوجّه هذه الإعدادات سلوكه في الاتصال، وتُوفّر مُعاملات الهوية، وتُحدّد أساليب الثبات التي سيستخدمها للبقاء على قيد الحياة بعد إعادة تشغيل النظام.
تحديد ملف تعريف النظام وتحديد هوية الضحية
بمجرد تفعيله، يُجري StreamSpy فحصًا شاملًا للنظام المُصاب. يجمع بيانات تعريف المُضيف، مثل اسم الجهاز، والمستخدم الحالي، وإصدار نظام التشغيل، وأدوات مكافحة الفيروسات المُثبتة، ومُعرّفات الأجهزة، وتفاصيل أخرى عن البيئة. بناءً على هذه المعلومات، يُنشئ مُعرّف ضحية فريدًا ويُرسله إلى خادم المُهاجم، مما يُتيح للمُشغّلين تتبّع الإصابات الفردية داخل حملتهم.
ولضمان تشغيله تلقائيًا، يقوم حصان طروادة بزرع آليات الثبات باستخدام المهام المجدولة، أو مفاتيح تشغيل التسجيل، أو اختصارات بدء التشغيل.
مجموعة واسعة من الأوامر عن بعد
يدعم StreamSpy مجموعة أوامر شاملة تُمكّن المهاجمين من التفاعل مع بيئة مُصابة بطرق مرنة وشديدة التطفل. من بين ميزاته الأكثر ضررًا:
- قدرات التنفيذ والنشر
- تشغيل أوامر عشوائية باستخدام cmd.exe أو PowerShell، مما يمنح التحكم الكامل في وظائف النظام
- تنزيل وتشغيل حمولات إضافية، بما في ذلك أرشيفات ZIP المشفرة التي يتم فك تشفيرها ونشرها محليًا
- عمليات الملفات وتعداد الأجهزة
- تحميل أو استخراج الملفات من أو إلى الجهاز المخترق
- إعادة تسمية الملفات أو حذفها لإخفاء النشاط أو إعداد مراحل المتابعة
- فحص جميع أجهزة التخزين المتصلة، بما في ذلك السعة ونظام الملفات وسمات محرك الأقراص القابل للإزالة
تجعل هذه الميزات من StreamSpy أداة فعالة للتجسس والحركة الجانبية وسرقة البيانات والوصول إليها على المدى الطويل.
التسليم من خلال أرشيف ZIP خادع
أكد المحققون أن برنامج StreamSpy ينتشر عبر ملفات ZIP ضارة. شملت إحدى الحالات المعروفة ملفًا باسم "OPS-VII-SIR.zip" مُستضافًا على خادم خارجي. احتوى الملف على:
- ملف StreamSpy القابل للتنفيذ مُقنع بأيقونة على غرار PDF
- تمت إضافة مستندات PDF شرعية لجعل الأرشيف يبدو آمنًا
تعتمد هذه التقنية على الهندسة الاجتماعية. يفتح المستخدم الأرشيف، ويرى مستندات تبدو شرعية، فيُشغّل البرنامج الخبيث المُقنّع دون علمه. يمكن إيصال ملف الإغراء الأولي عبر قنوات متعددة، بما في ذلك مواقع الويب الاحتيالية، ورسائل البريد الإلكتروني المزيفة، والإعلانات الخبيثة، والرسائل المباشرة، أو منشورات وسائل التواصل الاجتماعي.
تهديد خطير يتطلب الإزالة الفورية
بفضل إمكانياته الواسعة، يُمكّن StreamSpy المهاجمين من سرقة البيانات الحساسة، ونشر المزيد من البرامج الضارة، والتدخل في الملفات، وربما اختراق الحسابات أو الهويات. يُعرّض وجوده على الجهاز الضحايا لمخاطر جسيمة، بما في ذلك الخسائر المالية والمزيد من الاختراق. في حال اكتشافه، يجب إزالته فورًا باستخدام أدوات أمنية موثوقة وإجراءات تنظيف شاملة للنظام.
من الضروري التنبه للملفات المشبوهة، وملفات ZIP غير المتوقعة، والاتصالات غير المرغوب فيها. مع تزايد قوة تهديدات مثل StreamSpy، يبقى وعي المستخدم القوي أحد أكثر وسائل الحماية فعالية.
