MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
Cyber Security

Hackers are hijacking Cloudflare Tunnel subdomains

تحليل لحملات SERPENTINE#CLOUD وShadow Vector وClickFix الجديدة لاستهداف المستخدمين عبر تصيد متطور وتنفيذ برمجيات RAT.


الحملة الخبيثة الجديدة تستخدم نفق Cloudflare لتوصيل برامج RAT عبر سلاسل التصيد

نظرة عامة على SERPENTINE#CLOUD

تم رصد حملة خبيثة جديدة حددتها شركة Securonix تحت الاسم الرمزي SERPENTINE#CLOUD، تستغل نطاقات نفق Cloudflare المضيفة للبرمجيات الخبيثة، لتوصيل ملفاتاختصارات Windows (*.LNK) مخفية ضمن رسائل تصيد تحمل روابط لمرفقات مضغوطة.

خط سير الهجوم

  • إرسال بريد إلكتروني مزيف حول دفعة أو فاتورة مع رابط لمستند مضغوط.
  • المستند المضغوط يحتوي ملف LNK متنكر كملف PDF لفتح الضحية له.
  • تشغيل ملف LNK يؤدي إلى تحميل مرحلة تالية من WebDAV عبر نطاق Cloudflare Tunnel.
  • تنفيذ ملف WSF (VBScript خفيف) باستخدام cscript.exe لتنفيذ مجموعة من السكربتات بملف batch (“kiki.bat”).
  • سكريبت batch يعرض مستند PDF وهمي، ويتحقق من وجود مضادات الفيروسات، ثم يقوم بتحميل وتنفيذ حمولات Python مشفرة بواسطة Donut في الذاكرة، معروفة مثل AsyncRAT أو Revenge RAT.

ميزات وتقنيات الحملة

  • الاستفادة من *.trycloudflare[.]com لإخفاء النشاط الخبيث ضمن بنية شرعية.
  • سلسلة إصابة متعددة المراحل: LNK → WSF → batch → Python → RAT المعبأة في الذاكرة.
  • ربما استخدم المهاجمون نموذج لغوي كبير لتوليد السكربتات، وفقًا لتعليقات واضحة في الكود.
  • تم استهداف الولايات المتحدة والمملكة المتحدة وألمانيا وأجزاء من أوروبا وآسيا.
  • لا يزال المهاجمون مجهولين، رغم براعتهم في اللغة الإنجليزية.

سياق أوسع

  • سبق أن سجلت eSentire وProofpoint انتحالًا مماثلًا في أغسطس 2024 يروّج لبرامج خبيثة مثل AsyncRAT، GuLoader، PureLogs، Remcos، Venom، وXWorm عبر Cloudflare Tunnel.
  • هذه الحملة تمثل امتدادًا لتكتيكات خبيثة معقدة تشمل الهندسة الاجتماعية، واستغلال أدوات نظام التشغيل (living-off-the-land)، وتنفيذ الشيفرة في الذاكرة.

Shadow Vector: استهداف كولومبيا عبر SVG Smuggling

كشفت Acronis عن حملة خبيثة نشطة تحت اسم Shadow Vector تستهدف المستخدمين في كولومبيا عبر رسائل spear‑phishing تقلّد إشعارات قضائية وتضم ملفات SVG مخفية كطعم، تحمل روابط إلى سكربتات JS/VBS على منصات عامة أو أرشيفات ZIP محمية بكلمة مرور.

  • البرمجيات التي جرى تحميلها تشمل RATs مثل AsyncRAT وRemcos، وأداة تحميل .NET مرتبطة بـKatz Stealer.
  • تستخدم الحملة تقنية SVG smuggling، حيث يتم استغلال ملفات SVG لإخفاء روابط لأرشيفات خبيثة مخبأة على خدمات مثل Bitbucket وDropbox وDiscord وYDRAY.
  • الأرشيفات تتضمن ملفات شرعية إلى جانب DLL خبيثة يتم تحميلها جانبيًا.
  • الكود الموجود بداخله تعابير باللغة البرتغالية، ما يشير إلى إمكانيات مشاركة أو إعادة استخدام كود من البرمجيات البنكية البرازيلية.

ClickFix: زيادة الهجمات عبر المتصفح وسرقة البيانات

شهدت الفترة من مارس إلى مايو 2025 زيادة في الهجمات القائمة على المتصفح مثل ClickFix، وفقًا لشركة ReliaQuest، والتي بلغت حوالي 23 % من تقنيات التصيد.

  • تكتيك ClickFix يعتمد على إقناع المستخدم بأنه يحتاج لحل CAPTCHA أو إنهاء عملية تبدو عادية.
  • الهدف منها تنزيل برامج سرقة مثل Lumma Stealer وSectopRAT دون الحاجة إلى استغلال ثغرات تقنية.
  • أوضحت ReliaQuest أن "المورد الخارجي انخفض من المرتبة الثالثة إلى الرابعة، في حين استغل المهاجمون أخطاء المستخدم بدلاً من الثغرات التقنية."