New phishing campaign hits Taiwan

مجموعة Silver Fox APT تستهدف تايوان ببرمجيات Gh0stCringe وHoldingHands المعقدة

كشفت شركة Fortinet عن حملة تصيد إلكتروني جديدة تستهدف مستخدمين في تايوان باستخدام برمجيات خبيثة من نوع HoldingHands RAT وGh0stCringe، وذلك ضمن سلسلة هجمات متطورة تُنسب إلى مجموعة تهديد مستمر متقدم تُعرف باسم Silver Fox APT.

الهجمات بدأت برسائل تصيّد تنتحل صفة جهات حكومية مثل مصلحة الضرائب التايوانية، وتحتوي على ملفات PDF أو أرشيفات ZIP خبيثة. بعض الرسائل تستخدم صورًا قابلة للنقر تُحمّل البرمجيات عند الضغط عليها.

آلية الهجوم

ملفات PDF المستخدمة تتضمن روابط تؤدي إلى صفحات تحميل تحتوي على أرشيفات ZIP، تضم بداخلها برامج تنفيذية شرعية، محمّلات شيفرة خبيثة، وشيفرة مشفّرة يتم فكّها وتشغيلها لاحقًا.

تعتمد سلسلة العدوى على تقنيات تحميل DLL جانبي (DLL Sideloading)، حيث تُستخدم برامج شرعية لتحميل مكتبات خبيثة، مما يساعد على تجاوز أنظمة الحماية. وتضم المراحل الوسطى تقنيات مضادة للأنظمة الوهمية وتصعيد الصلاحيات لتفادي الكشف وتشغيل البرمجية بكفاءة.

مهام البرمجيات الخبيثة

الحمولة النهائية تكون ملفًا باسم "msgDb.dat"، وتقوم بإعداد قناة اتصال مع خادم التحكم (C2) لجمع معلومات المستخدم، وتنزيل وحدات إضافية لتنفيذ أوامر مثل إدارة الملفات والوصول عن بُعد لسطح المكتب.

برمجيتا Gh0stCringe وHoldingHands هما نسختان معدلتان من Trojan شهير يُعرف باسم Gh0st RAT، والذي يُستخدم منذ سنوات من قبل مجموعات تهديد صينية.

تعقيد وتقنيات متقدمة

وصفت Fortinet سلسلة الهجوم بأنها معقدة، حيث تشمل مراحل متعددة من الشيفرات المحقونة، وأدوات تحميل مرحلية، مما يجعل تتبع الهجوم وتحليله تحديًا كبيرًا.

يبدو أن مجموعة Silver Fox تواصل تطوير أدواتها وأساليب التوزيع بشكل مستمر، حيث رُصد استخدامهم لنُسخ جديدة من أداة Winos 4.0 سابقًا هذا العام.

خلاصة المقال

تعكس هذه الحملة قدرة متزايدة لدى المهاجمين على تجاوز الأنظمة الأمنية باستخدام تقنيات متقدمة مثل تحميل DLL، وإخفاء البرمجيات في ملفات شرعية، مع استخدام طُعم مقنع يستهدف جهات حكومية. ويُعد ذلك تحذيرًا واضحًا لمؤسسات القطاعين العام والخاص بضرورة تعزيز قدرات التصدي للهجمات الإلكترونية المتطورة.