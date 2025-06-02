طوال عام 2025، كانت IBM X-Force تتابع حملة تصيد استهدفت المؤسسات المالية حول العالم. استفادت هذه العملية من ملفات Scalable Vector Graphics (SVG) المدمجة مع JavaScript لبدء إصابات البرامج الضارة متعددة المراحل. بينما استخدام SVGs في التصيد الاحتيالي ليس أمراً جديداً، تشير التقارير الأخيرة إلى ارتفاع ملحوظ في الأساليب، مما يشير إلى تحول أوسع في مشهد التهديدات.
تتجاوز هذه الحملة جمع بيانات الاعتماد التقليدي—حيث تستخدم محملات متقدمة، ووحدات الوصول عن بعد المعيارية، وبنية تحتية موثوقة مثل Amazon S3 وTelegram للأوامر والسيطرة (C2). يظهر هذا النشاط كيف يطور المهاجمون تقنيات التصيد الاحتيالي إلى عمليات وصول أولية شاملة.
كشف تحليل X-Force عن حملة تصيّد احتيالي عالمية تستفيد من ملفات SVG كناقل هجوم أولي. وتحتوي هذه الملفات، المتخفية في صورة مستندات معاملات مالية، على JavaScript مضمّن يقوم بكتابة أرشيف بتنسيق ZIP إلى النظام. داخل الأرشيف، يبدأ ملف JavaScript سلسلة إصابة بالبرامج الضارة—مما يؤدي في النهاية إلى نشر RATs مثل Blue Banana وSambaSpy وSessionBot. تم تصميم هذه الحمولات لسرقة بيانات الاعتماد، واختراق الجلسات، والمراقبة، ونقل غير مصرح للبيانات، مما يشكل مخاطر كبيرة على المؤسسات المستهدفة.
يتواصل البرنامج الضار عبر Amazon S3 وواجهة برمجة تطبيقات Telegram Bot، مما يندمج مع حركة مرور حقيقية ويعقد جهود الكشف. ومن خلال استخدام تنسيق ملف نادرًا ما يتم فحصه في عوامل تصفية التصيد الاحتيالي، تتجاوز الحملة الدفاعات التقليدية بسهولة.
يعكس هذا النهج نمطاً ناشئاً في تقارير OSINT الأخيرة، والمدونات التقنية ، وتحليلات الصناعة، مما يبرز كيف يتم إساءة استخدام SVGs بشكل متزايد لتضمين محملة برنامج ضار وإعادة توجيه الضحايا إلى محتوى خبيث.
ومن الجدير بالذكر أن استخدام الحملة لإغراءات تحمل طابع SWIFT—في إشارة إلى مجتمع الاتصالات المالية بين البنوك في جميع أنحاء العالم (SWIFT)، وهي الشبكة العالمية التي تستخدمها المؤسسات المالية للمراسلة الآمنة —يوحي بالتركيز المتعمد على الضحايا في القطاع المالي.
توضح هذه الحركة اتجاها أوسع في فن التصيد الاحتيالي: حيث يتجاوز المهاجمون سرقة بيانات الاعتماد إلى تقديم برنامج ضار متقدم باستخدام وسائل متجهة إبداعية منخفضة الحضور. يجب على المدافعين تكييف منطق الكشف وتدريب الموظفين وفقاً لذلك—مع الاعتراف بأن حتى أنواع الملفات البريئة مثل SVGs يمكن أن تعمل الآن كمنصات لتوصيل البرامج الضارة.
على عكس حملات التصيد التقليدية التي تهدف إلى سرقة بيانات الاعتماد من خلال صفحات تسجيل دخول مزيفة، انتقلت هذه الحملة من الطعم إلى المحمل، مما حول ما بدا أنه ملف صورة إلى نقطة انطلاق لسلسلة إصابة متعددة المراحل بالبرامج الضارة.
تضمنت مرحلة الوصول الأولية للحملة رسائل تصيد احتيالي تنتحل شخصية SWIFT Global Services، تحث المستلمين على مراجعة تأكيدات الدفع أو التحويلات الحساسة للوقت. كان الملف المرفق، والذي تم تقديمه كمستند شرعي، عبارة عن صورة من نوع (SVG) مُسلَّحة تحتوي على JavaScript.
وبمجرد عرضه، يتم إغراء الضحية لتنزيل تقرير يبدو أنه ملف PDF؛ ومع ذلك، فإن اختيار ملف PDF سيؤدي إلى تشغيل JavaScript لحفظ ملف أرشيف ZIP على النظام.
بمجرد استخراج الأرشيف وفك ضغطه، يجد الضحايا ملفًا يسمى Swift Transaction Report.js يحتوي على JavaScript مبهم. تم تصميم البرنامج النصي للتهرب من الكشف باستخدام ترميز الهروب من Unicode وتقنيات تسلسل السلاسل. سيؤدي تنفيذ النص البرمجي إلى بدء تنزيل ملف Java Archive (JAR) مخفي تمامًا، مثل Swift التأكيد Copy.jar و Tranzacție+în+USD-pdf.jar. وقد أدت هذه المؤسسات دور برامج التنزيل في المرحلة الأولى، حيث استفادت من أدوات التشويش مثل Branchlock و Zelix KlassMaster للتهرب من التحليل الثابت والسلوكي.
حللت IBM X-Force بعض عينات SVG التي أسقطت أداة تحميل JAR بدلاً من ملف ZIP الذي يحتوي على JavaScript، متجاوزة مرحلة من سلسلة الإصابة.
إذا كان النظام المستهدف يحتوي على بيئة وقت تشغيل Java مثبت فيها، تقوم أداة التحميل بتنفيذ وبدء سلسلة من الفحوصات البيئية لكشف أدوات التحليل أو آليات تحديد الوصول. شملت هذه المؤشرات فحص عمليات النظام، ومؤشرات الإنتروبيا ومحاكاة افتراضية. فقط بعد التحقق من بيئة المستخدم الحقيقي، حاول البرنامج الضار استرداد حمولات المرحلة الثانية.
ولتحقيق ذلك، تواصلت مع حزم Amazon S3 التي يتحكم بها المهاجم، مدمجة التنزيلات الخبيثة مع حركة خدمة سحابية موثوقة في الأصل. قامت بعض المتغيرات بتضمين الحمولات المشفرة داخل ملفات خادعة ذات مظهر حميد لتقليل احتمالية الكشف أثناء النقل.
بمجرد اجتياز عمليات التحقق من التهرب، أنشأت أداة التحميل اتصالات خارجية بحزم Amazon S3 التي يتحكم فيها المهاجمون لاسترداد حمولات المرحلة الثانية المشفرة. أضاف استخدام البنية التحتية المرتكزة على السحابة تعقيداً لجهود الكشف، حيث غالباً ما تندمج حركة المرور إلى خدمات مثل amazonaws.com مع النشاط المؤسسي العادي.
تمت ملاحظة تحميل الحمولات من:
عند فك التشفير وفك الضغط، كتب البرنامج الضار الملفات إلى مواقع الثبات الرئيسية، بما في ذلك:
بالإضافة إلى الاستمرارية القائمة على الملفات، قامت بعض المتغيرات بتسجيل المهام المجدولة أو تعديل مفاتيح التشغيل التلقائي للسجل للحفاظ على الوصول عبر عمليات إعادة تشغيل النظام. كما أن عدة عينات أخرت التنفيذ أو وظيفة مغلقة بناء على تفاعل المستخدم، مما زاد من تعقيد الكشف عبر آلية تحديد الوصول المؤتمتة.
ينشر البرنامج الضار المستخدم في هذه الحملة بنية معيارية، يتيح للمشغلين تخصيص الوظائف بناء على بيئة وأهداف الضحية. لاحظت شركة IBM X-Force استخدام حمولات متعددة مع قدرات مراقبة متداخلة وسرقة البيانات واستمرارية.
بالإضافة إلى ذلك، استخدمت الحملة أداة سرقة البريد الإلكتروني تركز على Outlook (email.js) تم تنفيذها عبر wscript.exe. كان يمسح ملفات Outlook الشخصية، ويستخرج محتويات صندوق الوارد، وينظم البيانات لتسربها عبر طلبات HTTP POST المستندة إلى Telegram.
ولإخفاء نشاطه، قام البرنامج الضار بإسقاط ملفات خادعة حميدة المظهر (على سبيل المثال، Tranzacție+în+USD-pdf.txt Swift Confirmation Copy.pdf) الذي فتح عند التنفيذ، ما يعزز وهم الشرعية أثناء تنفيذ العمليات الضارة في الخلفية.
بالإضافة إلى البنية التحتية لـ Amazon S3 الموصوفة سابقًا، استفادت الحملة من واجهة برمجة التطبيقات الروبوتية لـ Telegram لتنفيذ الأوامر والسيطرة (C2) بعد الاختراق. وقد مكّن هذا النهج عناصر التهديد من التفاعل مع المضيفين المصابين واستخراج البيانات الحساسة وإصدار التعليمات بشكل ديناميكي، وكل ذلك عبر البنية التحتية للرسائل المشفرة المسموح بها عادةً في بيئات المؤسسات.
تم توجيه اتصالات C2 من خلال:
استخدمت هذه القنوات لاستطلاع النظام، واستخراج بيانات صندوق الوارد من البريد الإلكتروني، والتقاط الملفات بواسطة وحدات البرامج الضارة مثل SessionBot وسرقة البريد الإلكتروني email.js . وفر استخدام Telegram الخصوصية والتشفير وسهولة التشغيل، كما جعل الكشف من خلال المراقبة التقليدية للشبكة صعباً.
يعكس نموذج البنية التحتية ثنائي القناة — الذي يجمع بين استضافة الحمولة المرتكزة على السحابة والرسائل المشفرة — اتجاهاً متزايداً بين عناصر التهديد المدعومة مالياً لدمج حركة مرور خبيثة مع خدمات موثوقة، مما يطيل وقت التوقف ويزيد من فرص النجاح.
لاحظت X-Force أدلة على حدوث تغيير من استخدام إغراءات تحت نسق SWIFT إلى إغراءات تحت نسق التحقيق في الجرائم المالية ابتداءً من نهاية أبريل.
تمكَّن ملف SVG باستخدام هذا النسق من حفظ ملف JAR،Case No.86-2025.jar، إلى القرص. إن JAR هي أداة التنزيل نفسها التي تعتمد على Java والمستخدمة في حملة SWIFT. وتضمن تغيير آخر إمكانية الوصول عن بعد (RAT) المستندة إلى Java، وهي"STRAT"، والتي تمت ملاحظتها أثناء تنزيلها مع SambaSpy و Blue Banana. تشتهر STRRAT بقدراتها على سرقة المعلومات ومرونتها في تقديم وظائف خبيثة متعددة. على الرغم من كونه خفيفًا نسبيًا، إلا أن STRAT قادرة على محاكاة سلوك برامج الفدية وتمكين التحكم الكامل عن بُعد في الأنظمة المصابة.
تعكس هذه الحملة تطوراً أوسع في فن التصيد الاحتيالي—متجاوزة جمع الاعتمادات نحو توصيل البرامج الضارة المعيارية، والوصول طويل الأمد، واستخراج البيانات. من خلال إساءة استخدام ملفات SVG، وهي صيغة غالباً ما تغفل عنها مرشحات الأمان، يظهر عنصر التهديد استعداده لاستغلال الثغرات في منطق الكشف التقليدي.
إن استخدام إغراءات تحمل طابع SWIFT يسلط الضوء على التركيز المتعمد على المؤسسات المالية، حيث تستغل الألفة والثقة لزيادة معدلات النقر. وباستخدام البنية التحتية المرتكزة على السحابة وقنوات المراسلة المشفرة مثل Telegram، يدمج المهاجمون بشكل فعال النشاط الضار في حركة المرور العادية، ما يقلل من احتمالية الكشف المبكر.
بالنسبة للمدافعين، يؤكد هذا الأمر على الحاجة إلى إعادة تقييم الافتراضات حول أنواع الملفات "الآمنة" والبنية التحتية الحميدة. لم يعد التصيد الاحتيالي مجرد مشكلة بريد إلكتروني - إنه نقطة دخول لهجمات اختراق معقدة متعددة المراحل. يجب على المنظمات أن تبقى يقظة، وتمديد الرؤية للمتجهات غير التقليدية وتكيف منطق الكشف باستمرار ليواكب وتيرة الابتكار لدى المهاجمين.
يمكن للمؤسسات تقليل تعرضها لحملات مثل هذه من خلال الجمع بين رؤية نقطة النهاية، والتكوين الآمن، وتثقيف المستخدمين.
المؤشر
نوع المؤشر
السياق
141e8bf99ff6b58816951ed8bfd82
تجزئة ملف SHA256
Tranzacție+în+USD-pdf.jar (أداة تنزيل Java)
ae345b40d165255284bf4c6ab00
تجزئة ملف SHA256
Swift Confirmation Copy.jar (تنزيل Java)
a4ed118f15c5c943d5964fe381f1bd
تجزئة ملف SHA256
Case No.86-2025.jar (أداة تنزيل Java)
6a9f195f6fa9b298b94235b9b7dfa
تجزئة ملف SHA256
email.js (سارق البريد الإلكتروني Outlook)
8bcba87df6d459a573441fb848b9
تجزئة ملف SHA256
Swift Confirmation Copy.pdf (ملف خداع)
701435e822a78b82d53281af3ffb2
تجزئة ملف SHA256
Swift Transaction Report.js (أداة تنزيل JavaScript)
F92240185ABF62317800180aba0fb
تجزئة ملف SHA256
windowsdefi.jar (Blue Banana RAT)
b0dcc56ae5e90f6f2f4d05c679508
تجزئة ملف SHA256
soso.jar (SambaSpy RAT)
bc039b022d1a60cb519ae0f43f07d
تجزئة ملف SHA256
core.jal (STRAT RAT)
6ebab76c90cb36c09119a922d385
تجزئة ملف SHA256
tg.jar (SessionBot Implant)
tcp[:]//wwce.zapto[.]org:443
المجال
C2 for SambaSpy وBlue Banana RATs
tcp[:]//wce.zapto[.]org:443
المجال
C2 for SambaSpy وBlue Banana RATs
str-master[.]pw
المجال
C2 for STRRAT
api.telegram[.]org
المجال
الاختراق والاتصال عبر روبوت عبر Telegram API
https[:]//octupusgreat.s3.us-east-1.amazonaws[.]com
عنوان URL
الحمولة الأولية المستضافة على حاوية Amazon S3
https[:]//seasongretting.s3.eu-west-1.amazonaws[.]com
عنوان URL
الحمولات المستضافة على حزمة Amazon S3
https[:]//seasonmonster.s3.us-east-1.amazonaws[.]com
عنوان URL
الحمولات المستضافة على حزمة Amazon S3
https[:]//fullpremier.s3.eu-west-1.amazonaws[.]com
عنوان URL
الحمولات المستضافة على حزمة Amazon S3
java -jar Tranzacție+în+USD-pdf.jar
العملية
أمر تنفيذ البرنامج الضار
tasklist.exe
العملية
تستخدم من قبل البرنامج الضار لتعداد أدوات التحليل
wscript.exe email.js
العملية
تنفيذ عملية سرقة البريد الإلكتروني
swiftzjy1@financeplus[.]me
عنوان البريد الإلكتروني
البريد الإلكتروني لعنصر التهديد
Swiftkbp1@farmaciafamiliei[.]md
عنوان البريد الإلكتروني
البريد الإلكتروني لعنصر التهديد
swiftkcs1@farmaciafamiliei[.]md
عنوان البريد الإلكتروني
البريد الإلكتروني لعنصر التهديد
swiftotb1@financeplus[.]me
عنوان البريد الإلكتروني
البريد الإلكتروني لعنصر التهديد
swiftugt1@financeplus[.]me
عنوان البريد الإلكتروني
البريد الإلكتروني لعنصر التهديد
swiftvqz1@financeplus[.]me
عنوان البريد الإلكتروني
البريد الإلكتروني لعنصر التهديد
swiftzjy1@financeplus[.]me
عنوان البريد الإلكتروني
البريد الإلكتروني لعنصر التهديد
Swift Confirmation Copy.jar
ملف أرشيف Java
تُستخدم JAR الخبيثة في التنفيذ الأولي
Swift Transaction Report.js
ملف JavaScript
أداة تحميل JavaScript غامضة
Swift Confirmation Copy.pdf
ملف PDF
ملف PDF وهمي يظهر بعد الإصابة الأولية
