تم التأليف بواسطة فريق IBM X‑Force للاستجابة للحوادث وخدمات الاستعلامات (IRIS).
حدَّد باحثو فريق IBM X‑Force للاستجابة للحوادث وخدمات الاستعلامات (IRIS) حلقة مفقودة في عمليات جهة تهديد متورطة في الهجمات الأخيرة لبرمجيات Shamoon الخبيثة ضد مؤسسات في دول الخليج. تُشير التقارير إلى أن الهجمات الإلكترونية، التي وقعت في نوفمبر 2016 ويناير 2017، أثَّرت في آلاف أجهزة الكمبيوتر عبر العديد من المؤسسات الحكومية والمدنية في المملكة العربية السعودية وأماكن أخرى في دول الخليج. تم تصميم Shamoon لتدمير محركات الأقراص الصلبة للكمبيوتر عن طريق مسح سجل التمهيد الرئيسي (MBR) والبيانات بشكل لا رجعة فيه، على عكس برامج الفدية التي تحتجز البيانات مقابل دفع فدية.
من خلال تحقيقاتهم الأخيرة، حدَّد محللو الأدلة الجنائية لدينا متجه الاختراق الأوَّلي والعمليات التي تلت الاختراق والتي أدَّت إلى نشر برمجيات Shamoon المدمرة على البنى التحتية المستهدفة. جدير بالذكر أنه، وفقًا لـ X-Force IRIS، حدث الاختراق الأوَّلي قبل أسابيع من إطلاق ونشر Shamoon الفعلي.
نظرًا لأن حوادث Shamoon تتضمن مراحل التسلل وتصعيد الهجوم في الهجمات الموجَّهة، سعى مستجيبون من X‑Force IRIS لتحديد نقطة دخول المهاجمين. أشارت نتائجهم إلى ما يبدو أنه نقطة الاختراق الأوَّلية التي استخدمها المهاجمون: مستند يحتوي على وحدات ماكرو خبيثة، والتي عند السماح بتنفيذها، مكَّنت من إقامة اتصالات C2 مع خادم المهاجم وتشغيل shell عن بُعد عبر PowerShell.
لم يكن هذا المستند هو الوحيد الذي تم اكتشافه في موجات الهجوم الأخيرة. كان باحثو X‑Force IRIS يتعقبون نشاطًا سابقًا مرتبطًا بمستندات خبيثة مشابهة محملة بـ PowerShell، ومموّهة على شكل سير ذاتية ومستندات للموارد البشرية، وبعضها مرتبط بمؤسسات في المملكة العربية السعودية. حددت هذه الدراسة عدة موجات من النشاط الهجومي خلال الأشهر القليلة الماضية، كشفت عن أساليب تشغيلية مشابهة اعتمدها المهاجمون لتقديم مستندات خبيثة وبرمجيات تنفيذية أخرى من خوادم ويب إلى أهدافهم بهدف إنشاء موطئ قدم أوَّلي في الشبكة.
النشرة الإخبارية الخاصة بالمجال
ابقَ على اطلاع دائم على أبرز الاتجاهات في مجالات الذكاء الاصطناعي، والأتمتة، والبيانات، وغيرها الكثير من خلال رسالة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيصلك محتوى الاشتراك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك من هنا. لمزيد من المعلومات، راجع بيان خصوصية IBM.
على الرغم من توثيق Shamoon سابقًا في مدونات البحث، ظلت أساليب اختراق الشبكة المحددة التي أدَّت إلى الهجمات غير واضحة في الحالات المبلغ عنها. درس باحثو X-Force IRIS دورة حياة هجوم Shamoon وراقبوا الأساليب في مجموعة مقرها السعودية وشركات القطاع الخاص. أدى هذا البحث إلى اعتقادهم بأن الجهة التي استخدمت Shamoon في الهجمات الأخيرة اعتمدت بشكل كبير على مستندات مسلحة مصممة لاستغلال PowerShell لإنشاء موطئ قدم أوَّلي في الشبكة ولتنفيذ العمليات اللاحقة.
الشكل 1: هجوم Shamoon - التسلسل المنطقي للأحداث
قامت X-Force IRIS بتحديد المستند الخبيث الموضَّح أدناه:
قام باحثونا بفحص النطاق الذي استضاف الملف الخبيث الأول، mol.com-ho[.]me. وفقًا لسجل WHOIS للنطاق، قام مسجِّل مجهول بتسجيل com-ho[.]me في أكتوبر 2016 واستخدمه لتقديم مستندات خبيثة تحتوي على ميزات تفعيل ماكرو مشابهة. وتضمَّنت قائمة الوثائق التالية ما يلي:
من المرجَّح أن هذه الملفات تم تسليمها عبر رسائل بريد إلكتروني تصيّد مستهدفة لخداع الموظفين ودفعهم لتشغيل الحمولة الخبيثة دون علمهم.
كشف التدقيق الدقيق لأسماء الملفات عن وجود "IT Worx" و"MCI". يُظهر البحث عن اسم IT Worx أنها مؤسسة عالمية لتقديم خدمات البرمجيات الاحترافية، ويقع مقرها الرئيسي في مصر. تُشير MCI إلى وزارة التجارة والاستثمار في المملكة العربية السعودية. من الممكن أن تكون هذه الأسماء قد استُخدِمت في رسائل تصيّد موجَّهة لأنها تبدو غير ضارة للموظفين في السعودية وتحثّهم على فتح المرفق.
كما حدَّد باحثو X-Force IRIS أن الجهة المهددة وراء المستندات الخبيثة قامت بتوزيع العديد منها باستخدام نظام تقصير الروابط وفق النمط التالي: briefl[.]ink/{a-z0-9}[5].
الشكل التالي مثال مرئي لما قد يواجهه الموظفون عند فتحهم لملفات Word الخبيثة التي تم إرسالها إليهم تمهيدًا لهجوم Shamoon.
الشكل 2: مستند Word خبيث تم إرساله تمهيدًا لهجوم برمجية Shamoon (المصدر: X-Force IRIS)
كشفت نتائج DNS السلبية على نطاق اتصالات مرتبط بهجوم Shamoon البنية التحتية للشبكة ذات الصلة، محددة نطاقات إضافية استخدمتها عناصر التهديد.
اكتشفت X-Force IRIS أن الجهة المهددة كانت تستضيف على الأقل ملفًا تنفيذيًا خبيثًا على خادم مستضاف على ntg-sa[.]com. خَدَع هذا الملف الأهداف وجعلهم يعتقدون أنه مثبَّت Flash player، حيث كان يقوم بتنزيل ملف دفعي من Windows لاستدعاء PowerShell للاتصال بنفس خادم C2.
أظهر تحليل أحد مستندات عنصر التهديد أنه إذا تم تنفيذ وحدات الماكرو، فإنها تطلق برنامجين نصيين منفصلين لـ PowerShell. يقوم الأول بتنفيذ سكريبت PowerShell يتم تقديمه من hxxp://139.59.46.154:3485/eiloShaegae1. من المحتمل أن يكون هذا المضيف مرتبطًا بهجمات قامت بتقديم Pupy RAT، وهي أداة وصول عن بُعد متعددة المنصات ومتاحة للعامة.
يستدعي البرنامج النصي الثاني وظيفة VirtualAlloc لإنشاء مخزن مؤقت، ويستخدم memset لتحميل شيفرة Shellcode مرتبطة بـ Metasploit داخل هذا المخزن، ثم ينفِّذها عبر CreateThread. يُعَد Metasploit إطار عمل مفتوح المصدر شائع الاستخدام لتطوير وتنفيذ كود الاستغلال ضد أجهزة مستهدفة عن بُعد. يعمل shellcode على تنفيذ عملية XOR من نوع DWORD على أربعة بايتات عند إزاحة محددة من بداية الكود، ما يؤدي إلى تعديل الكود لإنشاء حلقة تكرار تستمر فيها عملية XOR عدد 0x57 مرة.
في حال نجاح هذا التنفيذ، يتم إنشاء مخزن مؤقت باستخدام VirtualAlloc، ثم يتم استدعاء InternetReadFile ضمن حلقة تكرارية إلى أن يتم إحضار محتوى الملف بأكمله من hxxp://45.76.128.165:4443/0w0O6. بعد ذلك، يتم إرجاع هذا المحتوى كسلسلة نصية إلى PowerShell، الذي يقوم باستدعاء invoke-expression (iex) عليها، ما يُشير إلى أن الحمولة المتوقعة هي PowerShell.
ومن الجدير بالذكر أن وحدة الماكرو كانت تتضمن وظيفة DownloadFile() تستخدم URLDownloadToFileA، إلا إنها لم تُستخدم فعليًا.
استنادًا إلى الملاحظات المرتبطة بالمستند الخبيث، تم رصد جلسات shell لاحقة من المرجح ارتباطها بـ Meterpreter الخاص بـ Metasploit، والتي أتاحت نشر أدوات وبرمجيات خبيثة إضافية قبل نشر ثلاثة ملفات مرتبطة بـ Shamoon هي: ntertmgr32.exe وntertmgr64.exe وvdsk911.sys.
على الرغم من أن القائمة الكاملة لضحايا Shamoon غير متاحة للعامة، ذكرت Bloomberg أنَّه في إحدى الحالات تم تدمير آلاف أجهزة الكمبيوتر في مقر الهيئة العامة للطيران المدني السعودي، ما أدى إلى مسح بيانات حيوية وتوقُّف العمليات لعدة أيام.
الأنشطة الأخيرة التي ترصدها X-Force IRIS من مهاجمي Shamoon تم اكتشافها حتى الآن على شكل موجتين، لكن من المرجح أن تتراجع هذه الأنشطة بعد الاهتمام العام الذي حظيت به الحالات منذ أواخر 2016.
أصدرت المملكة العربية السعودية تحذيرًا للمؤسسات المحلية بشأن برمجية Shamoon، مع التنبيه إلى احتمال وقوع هجمات ونصحت المؤسسات بالاستعداد لها. تؤدي التحليلات والتحذيرات المتعلقة بـ Shamoon إلى استعداد الأطراف المستهدفة، ومن المرجح أن يختفي الفاعلون ويغيروا أساليبهم حتى الموجة التالية من الهجمات.
للمزيد من التفاصيل التقنية حول هذا البحث والمؤشرات المرتبطة بالاختراق، راجع X-Force Advisory على X-Force Exchange.