الأمن

تقرير تحليل التهديدات من X-Force: استغلال أمريكا اللاتينية في نشر PureHVNC

تاريخ النشر 28 أكتوبر 2025
منظر جانبي لأيدي تكتب على لوحة مفاتيح كمبيوتر محمول في غرفة مضاءة باللون الأزرق

المؤلفون

Melissa Frydrych-Dean

Threat Hunt Researcher

IBM

Raymond Joseph Alfonso

Malware Reverse Engineer

IBM X-Force

في الفترة ما بين أغسطس وأكتوبر 2025، رصدت IBM X-Force عدة رسائل بريد إلكتروني تستهدف على الأرجح أفرادًا كولومبيين يتحدثون الإسبانية بمواضيع تتعلق بمكتب المدعي العام في كولومبيا. تدفع رسائل البريد الإلكتروني هذه المستخدم إلى تنزيل "مستند رسمي" من نظام المعلومات القضائية، ما يبدأ عملية الإصابة المتمثلة في تنفيذ محمل تنفيذي من نوع Hijackloader يؤدي إلى PureHVNC ، وهو حصان طروادة خاص بالوصول عن بُعد (RAT).

نوع التهديد

  • التصيد الاحتيالي

الخلفية

في الفترة ما بين أغسطس وأكتوبر 2025، رصدت X-Force عدة رسائل بريد إلكتروني تستهدف مستخدمين مقيمين على الأرجح في كولومبيا برسائل بريد إلكتروني تنتحل صفة مكتب المدعي العام الكولومبي وتتضمن مستندات رسمية للتنزيل. تهدف رسائل البريد الإلكتروني إلى استخدام Hijackloader لنشر العديد من الحمولات، بما في ذلك PureHVNC. لم يُستخدم Hijackloader نفسه على نطاق واسع في الحملات التي تستهدف المستخدمين في أمريكا اللاتينية (LATAM)، ولم ترصد X-Force في السابق أية حملات تستهدف مستخدمي أمريكا اللاتينية لنشر PureHVNC. في عام 2024، وردت تفاصيل عن استخدام Hijackloader لتحميل RemcosRAT في حملات استهدفت عملاء CrowdStrike، وهم على الأرجح من دول أمريكا اللاتينية (استنادًا إلى أن أسماء الملفات والتعليمات باللغة الإسبانية). يُعد نشر PureHVNC RAT مثيرًا للاهتمام نظرًا إلى أن X-Force لم ترصد في السابق أية حملات نُشر فيها PureHVNC لدى مستخدمين ناطقين بالإسبانية. يُعد PureHVNC RAT جزءًا من مجموعة الأدوات التي تبيعها PureCoder. الأدوات الخبيثة معروضة للبيع الفوري على الشبكة الخفية في المنتديات السرية، وكذلك على Telegram.

التحليل

لمحة عامة

يُرسل إلى المستخدمين رسالة بريد إلكتروني تزعم أنها مراسلة رسمية صادرة عن مكتب المدعي العام في كولومبيا. تفيد رسالة البريد الإلكتروني بأن هناك دعوى قضائية رفعها موظف سابق، ويجري النظر فيها أمام المحاكم العمالية. ويُرفق ملف SVG برسالة البريد الإلكتروني، والذي يفتحه الضحية في Google Drive. في معظم الحالات، تظهر معاينة المستند ويكون جاهزًا للتنزيل من خلال النقر فوق زر التنزيل. في إحدى الحالات، ظهرت للضحية رسالة "تعذّرت معاينة الملف" مع وجود زر التنزيل، والذي فتح الملف في Google Drive. وعلى كلٍ، في أثناء التواجد في Google Drive، سيؤدي النقر فوق أي مكان في المستند إلى تنزيل ملف أرشيف ZIP، وستظهر للضحية عندئذٍ صفحة "اكتمل التنزيل" تحتوي على كلمة مرور مثل "KC4SX87". يحتوي ملف ZIP على عدة ملفات إضافية، أحدها ملف تنفيذي يحتاج المستخدم إلى كلمة المرور من أجل تنفيذه عند النقر عليه. سيؤدي النقر فوق ملف EXE إلى بدء عملية الإصابة، حيث يُستخدم Hijackloader لنشر عدة حمولات مختلفة، بما في ذلك PureHVNC.

لقطة شاشة لمثال على رسالة بريد إلكتروني لحملة التصيد الاحتيالي هذه
الشكل 1 مثال على رسالة البريد الإلكتروني
مثال على صفحة التنزيل
الشكل 2 مثال على صفحة التنزيل
تنزيل ملف SVG ينتحل صفة Consulta de Procesos Nacional Unificada
الشكل 3 تنزيل ملف SVG
معاينة تنزيل مستند SVG لانتحال صفة Portal de Consulta Ciudadana
الشكل 4 معاينة تنزيل مستند SVG
تنزيل ملف SVG ينتحل صفة Portal de Consulta Ciudadana
الشكل 5 تنزيل ملف SVG
لقطة شاشة لصفحة اكتمل التنزيل وكلمة المرور
الشكل 6 اكتمل التنزيل وكلمة المرور
محتويات أرشيف ZIP
الشكل 7 محتويات أرشيف ZIP
إدخال كلمة مرور ملف EXE
الشكل 8 إدخال كلمة مرور ملف ExE

مثال على عملية الإصابة بفيروس PureHVNC

  • 02 BOLETA FISCAL.exe (javaw.exe) → JLI.dll → MSTH7EN.DLL → Sumhand.zam → Plagkeg.zk → PureHVNC → sofiavergara[.]duckdns[.]org

البرنامج الضار المرحلة الأولى: التحميل الجانبي لملفات DLL

يستخدم Hijackloader تقنية تسمى التحميل الجانبي لملفات DLL، والتي تستغل ترتيب البحث الذي يستخدمه Windows لتحديد موقع المكتبات المطلوبة لتنفيذ ملف DLL خبيث. يستخدم Hijackloader ملف javaw.exe شرعيًاأُعيدت تسميته باسم يحمل طابعًا قضائيًا (02 BOLETA FISCAL.exe). ونظرًا إلى أن أحد تبعيات javaw.exe هو JLI.dll، يضع Hijackloader نسخة معدلة من JLI.dll في المجلد نفسه. عند تشغيل javaw.exe المعاد تسميته، يُحمّل نظام التشغيل أيضًا ملف DLL الخبيث من المجلد المحلي.

تتمثل الوظيفة الأساسية لملف JLI.dll الخبيث في تحميل حمولة المرحلة الثانية، MSTH7EN.dll. ويُجرى ذلك عن طريق استدعاء واجهة برمجة التطبيقات LoadLibraryW() ، والتي تُحمّل MSTH7EN.dll في مساحة عنوان العملية. يُعيد استدعاء واجهة برمجة التطبيقات عنوان الصورة الأساسي لملف DLL المحمل حديثًا. ثم يُضاف هذا العنوان إلى قيمة تعويض محددة لحساب نقطة دخول الكود الخبيث في MSTH7EN.dll.

if ( v25 )
{
  *v25 += v25;
  *(v25 - 117) += v26;
  v27 = v42;
  v28 = *v26;
  do
  {
      ++v26;
      *v27++ = v28;
      v28 = *v26;
  }
  while ( *v26 );
  *v27 = 0;
  LibraryA = LoadLibraryA(v42); //Load MSTH7EN.DLL
  if ( LibraryA )
    LOBYTE(LibraryA) = ((LibraryA + 31934))(); //Image base of MSTH7EN.dll +
31934 (malicious code offset)
  }

البرنامج الضار المرحلة الثانية: مرحلة التحميل

تبدأ حمولة المرحلة الثانية بالتهيئة. ولتجنب الرصد، تحمل جميع المكتبات وواجهات برمجة التطبيقات الضرورية وتعالجها ديناميكيًا. وبمجرد اكتمال العملية، تتحقق من أن مجلد العمل الحالي يتطابق مع موقع Hijackloader، ما يضمن إمكانية الرجوع إلى حمولة المرحلة الثالثة وتحميلها بشكل صحيح.

تحتوي حمولة المرحلة الثالثة على تكوين برنامج ضار مشفر يتضمن العناصر التالية:

  • مفتاح فك تشفير التكوين
  • حجم التكوين المشفر
  • بيانات التكوين المشفرة

عند فك التشفير، يحتوي تكوين البرنامج الضار على معلومات، مثل ما يلي:

  • اسم ملف DLL المطلوب إجراء تفريغ DLL له
  • حجم كود shellcode المطلوب لتفريغ DLL
  • قيمة تعويض الكود الخبيث داخل كود shellcode
  • تجزئات أسماء العمليات والتي، إذا عُثر عليها، سوف يتأخر تنفيذ البرنامج الضار
  • أول أربع وحدات بايت من كود shellcode، وتُستخدم للتحقق
  • سلسلة بحث تُستخدم لتحديد بداية كود shellcode
لقطة شاشة لتكوين برنامج ضار مشفر
الشكل 9 تكوين برنامج ضار مشفر
لقطة شاشة لتكوين برنامج ضار تم فك تشفيره
الشكل 10 تكوين برنامج ضار تم فك تشفيره

يُحمل كود shellcode بعد ذلك في vssapi.dll، وهو ملف DLL المحدد في تكوين البرنامج الضار. ويُجرى ذلك عن طريق استدعاء VirtualProtect() لتغيير حماية الذاكرة لقسم .text في ملف DLL إلى PAGE_EXECUTE_READWRITE. وأخيرًا، يُنسخ كود shellcode إلى هذا العنوان القابل للكتابة، ويُنقل مسار التنفيذ إليه.

يعمل كود shellcode كمحمل، ولكن أولاً، يعمل على تجزئة أسماء العمليات الجارية في النظام ومقارنتها بالقيم المحددة في تكوين البرنامج الضار. إذا عُثر على تطابق، يستخدم البرنامج الضار واجهة برمجة التطبيقات NtDelayExecution() لإيقاف تنفيذها.

بعد ذلك، يقرأ محتوى Plagkeg.zk. محتوى هذا الملف هو تكوين برنامج ضار آخر مشفر ووحدات HijackLoader. تُقسم البيانات إلى أجزاء متعددة، حيث يحتوي الجزء الأولي على المعلومات التالية:

  • حجم البيانات المشفرة
  • العلامة ("IDAT")
  • قيمة (0xC6A579EA) تُستخدم للتحقق من وحدات البايت الأولية لكود shellcode
  • مفتاح فك تشفير البيانات

تتبع الأجزاء التالية هذه البنية:

  • حجم جزء الكود shellcode
  • العلامة ("IDAT")
  • وحدات البايت المشفرة

ولتجميع هذه الأجزاء، يمر HijackLoader عبر البيانات المشفرة بحثًا عن نمط "????IDAT"، حيث تعمل علامات الاستفهام كأحرف بدل. وبمجرد العثور على تطابق، يتحقق ما إذا كانت وحدات البايت الأربع التي تلي النمط مباشرةً تساوي 0xC6A579EA. ويؤكد هذا أنه قد عُثر على الجزء الأولي، وهو أمر مهم لأنه يحتوي على الحجم الإجمالي لكود shellcode ومفتاح فك التشفير. إذا تطابقت القيمة، يخزن HijackLoader وحدات بايت كود shellcode في مخزن مؤقت. وتتكرر العملية مع جميع الأجزاء اللاحقة، مع إلحاق وحدات بايت كود shellcode الخاصة بها بالمخزن المؤقت نفسه، حتى عدم العثور على المزيد من الأنماط المطابقة.

وبمجرد الانتهاء، يُفك تشفير المخزن المؤقت الذي يحتوي على كود shellcode المشفر باستخدام شفرة XOR ثم يُفك ضغطه باستخدام خوارزمية LZNT1. والنتيجة هي بنية تحتوي على معلومات متنوعة، مثل الحمولة النهائية، وبنية الوحدة، وما إلى ذلك.

البرنامج الضار المرحلة الثالثة: ti64 - الوحدة الرئيسية

تنقسم وظائف HijackLoader إلى وحدات. يحتوي بعضها على أكواد تنفيذية، بينما البعض الآخر هي مجرد معلومات مستخدمة كمرجع. مثال على ذلك هو وحدة COPYLIST ، والتي تحتوي على قائمة بأسماء الملفات المتعلقة بهذا الإصدار من HijackLoader. وفقًا لتقرير Trellix، تدعم بعض إصدارات HijackLoader ما يصل إلى 40 وحدة، لكن العينة التي جرى تحليلها لهذا التقرير تدعم 35 فقط. لا تُنفذ جميع الوحدات، ويعتمد استخدامها على العلامات المحددة في تكوين البرنامج الضار.

يلخص الجدول أدناه اسم كل وحدة والغرض منها:

يمر HijackLoader عبر هذه البُنى ويحول كل اسم وحدة إلى تجزئة باستخدام خوارزمية مخصصة. بمجرد العثور على تطابق الوحدة "ti64"، فإنه يحسب مؤشرًا لكود الوحدة عن طريق إضافة قيمة تعويض البيانات إلى قاعدة مصفوفة بيانات الوحدة. ثم يُعاد هذا المؤشر ويُستخدم كمرجع لكود shellcode الخاص بالوحدة "ti64".

بعد ذلك، ينفذ البرنامج الضار عملية تفريغ DLL أخرى لحقن كود shellcode الخاص بوحدة "ti64". والهدف هو ملف DLL المحدد في التكوين الذي سبق فك تشفيره، وهو في هذه الحالة pla.dll.

اسم الوحدة

التجزئة

الغرض

AVDATA

0x78B783CA

يحتوي على تجزئات العمليات المتعلقة بالمنتجات الأمنية

ESAL
ESAL64

0x757C9405
0x6364A15B

يمسح بيانات hijackloader الموجودة في الذاكرة وينفذ الحمولة النهائية

ESLDR
ESLDR64

0xE7794E15
0x4FA01AC5

يُستخدم لحقن وتنفيذ كود shellcode الخاص بالمحمل HijackLoader

ESWR
ESWR64

0x93EB1CB1
0xAE2762

يمسح بيانات shellcode وينفذ وحدة rshell

FIXED

0x699D0C82

ملف PE شرعي يُستخدم لحقن الكود في عمليته

LauncherLdr64

0xF4F141C2

يفك تشفير ملفات التكوين المخزنة على القرص

modCreateProcess
modCreateProcess64

0x696F778F
0x9B0B7E4B

يُستخدم لتنفيذ ملف

modTask
modTask64

0x3115355E
0x9BFAF2D3

يُنشئ الاستمرارية باستخدام مهمة مجدولة

modUAC
modUAC64

0xC64EBFDA
0xC97832F9

يُستخدم لزيادة الامتيازات

modWriteFile
modWriteFile64

0xFCE82FC1
0x90415081

يتعامل مع إنشاء الملفات على القرص

rshell

rshell64

0x74984889
0x7B37E907

ينفذ الحمولة النهائية

ti

ti64

0x3EE477F1
0x2AB77DB8

يعمل بمثابة كود shellcode الرئيسي الذي يُنفذ جميع الوحدات الأخرى

TinyCallProxy
TinyCallProxy64

0x455CBBC3
0x5515DCEA

يعمل كوكيل لتنفيذ استدعاءات واجهة برمجة التطبيقات

tinystub
tinystub64

0x4EACE798
0x6E874E5A

يحتوي على ملف تنفيذي وهمي، يُستخدم للتحديث في أثناء عملية تنفيذ الحمولة النهائية

tinyutilitymodule.dll
tinyutilitymodule64.dll

0xA1D724FC
0xA0077EA3

يستبدل رؤوس PE الخاصة بملف محدد بوحدات البايت الفارغة

SM

0xD8222145

يحتوي على اسم ملف DLL بالنظام والمستخدم في تزييف مجموعة الاستدعاءات أو حقن كود shellcode

COPYLIST

0x1AE7700A

قائمة بأسماء الملفات المراد نسخها أو حذفها

CUSTOMINJECT

0x6703F815

يحتوي على ملف تنفيذي شرعي يُستخدم لحقن كود في ذاكرة عمليته. تُنشأ العملية في مسار مخصص تحدده الوحدة CUSTOMINJECTPATH 

CUSTOMINJECTPATH

0x192A4446

يحتوي على مسار ملف يُستخدم لإنشاء الملف الشرعي في الوحدة CUSTOMINJECT 

X64L

0xCB5B9F3F

هي الوحدة التي تُحقن في عملية لتكون بمثابة وكيل حقن

WDUACDATA

0x4D75088D

يحتوي على السلسلة المستخدمة لتنفيذ الأوامر عبر cmd

WDDATA

0xB718A6AE

يحتوي على أمر PowerShell لإضافة استثناء في برنامج Windows Defender لمكافحة الفيروسات

PERSDATA

0xA2E0AB5D

يحتوي على التكوين الذي تستخدمه الوحدة modTask لإنشاء مهام مجدولة

MUTEX

0x1999709F

يحتوي على اسم كائن الاستبعاد المتبادل المراد فحصه

تصعيد الامتيازات

تستخدم الوحدة modUAC، على غرار الوحدات الأخرى، TinycallProxy لاستدعاء واجهات برمجة التطبيقات. إذا كانت قيمة DWord الأولى من وحدة UACDATA هي 2، فإنه يستخدم "Runas" لزيادة امتيازاته. وإلا يستخدم واجهة CMSTPLUA COM لتخطي UAC.

التهرب

الاستدعاء غير المباشر لواجهة برمجة التطبيقات

في بعض الإصدارات، يستخدم HijackLoader تقنية تُسمى "تزييف المجموعة" لإخفاء مصدر استدعاءات واجهة برمجة التطبيقات واستدعاءات النظام. ويفعل ذلك باستخدام سجل المؤشر الأساسي (EBP) للتنقل في المجموعة، متبعًا سلسلة مؤشرات EBP لاسترجاع عنوان الإرجاع من كل إطار مجموعة. إذا لم يكن عنوان الإرجاع موجودًا ضمن قسم .text من الملف ntdll.dll أو kernelbase.dll، يخزنه HijackLoader لاستخدامه لاحقًا. تتكرر هذه العملية حتى الوصول إلى الحد الأقصى للمجموعة أو حتى العثور على ثلاثة عناوين إرجاع متتالية داخل مكتبات النظام تلك.

بعد ذلك، يعمل على تزييف مجموعة الاستدعاءات عن طريق استبدال العناوين المحفوظة والشرعية بعناوين وهمية. يُنشأ كل عنوان وهمي عن طريق تحديد تصدير عشوائي من ملف DLL تحدده الوحدة SM (في هذه الحالة، dcd9.dll) وإضافة قيمة تعويض عشوائية، ما يضمن أن المؤشر النهائي يقع داخل قسم .text الخاص بتلك الوحدة. ثم يُستخدم Heaven’s Gate لاستدعاء النظام. وفور إتمام الاستدعاء، تُستعاد عناوين المجموعة الأصلية.

أما الإصدارات الأحدث فتستخدم تقنية مختلفة. بدلاً من تزييف المجموعة، يحمل HijackLoader ملف DLL المستهدف الذي حددته وحدة SM عبر LoadLibraryW(). ثم يحفظ الكود من تعويض عشوائي داخل ملف DLL هذا في مخزن مؤقت ويستبدله بكود shellcode الخاص بوحدة TinyCallProxy64 ، والمصمم لاستدعاء واجهة برمجة التطبيقات المحددة. وبمجرد الانتهاء من الاستدعاء، يُستعاد الكود الأصلي النظيف.

يستخدم HijackLoader هذه التقنيات لعدد محدد من الدوال التي من المحتمل أن ترصدها برامج مكافحة الفيروسات، مثل ZwProtectVirtualMemory و ZwGetContextThread.

__int64 __fastcall sub_7FF87A86D3B0(
        GlobalContext_0 *a1,
        __int64 hash_of_function,
        __int64 a3,
        __int64 a4,
        __int64 a5,
        __int64 a6,
        __int64 a7)
{
  Indirect_SYSCALL *syscall_struct; // [rsp+40h] [rbp-28h]
  __int64 (__fastcall *pAPIFunc)(__int64, __int64, __int64, __int64, __int64);
// [rsp+48h] [rbp-20h]

  syscall_struct = sub_7FF87A86B470(a1, hash_of_function);
  if ( !syscall_struct )
    return 0xFFFFFFFFLL;
  pAPIFunc = (a1->ntdll_image_base + syscall_struct->api_rva);
  if ( a1->GlobalContext_1 )
    return mw_indirect_api_call(a1->GlobalContext_1, pAPIFunc, a3, a4, a5, a6, a7);
  else
    return pAPIFunc(a3, a4, a5, a6, a7);
}

__int64 __fastcall mw_indirect_api_call(
        GlobalContext_1 *TinyCallProxy64,
        __int64 pAPIFunc,
        __int64 a3,
        __int64 a4,
        __int64 NtClose,
        __int64 a6,
        __int64 a7)
{
  _BYTE *shellcodeAddress; // [rsp+40h] [rbp-58h]
  unsigned int v9; // [rsp+48h] [rbp-50h] BYREF
  int v10; // [rsp+4Ch] [rbp-4Ch] BYREF
  unsigned int v11; // [rsp+50h] [rbp-48h]
  _BYTE *clean_code; // [rsp+58h] [rbp-40h]
  unsigned int v13; // [rsp+60h] [rbp-38h]
  void (__fastcall *FlushInstructionCache)(__int64, _BYTE *, _QWORD); //
[rsp+68h] [rbp-30h]
  unsigned __int64 random_address; // [rsp+70h] [rbp-28h]
  __int64 (__fastcall *pShellcodeAddress)(__int64, unsigned __int64, _QWORD,
__int64, __int64, __int64, __int64, __int64); // [rsp+78h] [rbp-20h]
  void (__fastcall *v17)(__int64, _BYTE *, _QWORD); // [rsp+80h] [rbp-18h]

  v13 = 5;
  v11 = 0;
  shellcodeAddress = mw_pick_random_address(TinyCallProxy64);// d3d9.dll address
  v9 = 0;
  v10 = 0;
  if ( !(TinyCallProxy64->VirtualProtect)(shellcodeAddress,
LODWORD(TinyCallProxy64->shellcode_size), 64LL, &v9) )
    return -1LL;
  clean_code = (TinyCallProxy64->malloc)(LODWORD(TinyCallProxy64->shellcode_size));
  wrapper_memcpy(clean_code, shellcodeAddress, TinyCallProxy64->shellcode_size);
  wrapper_memcpy(shellcodeAddress, TinyCallProxy64->shellcode, TinyCallProxy64->shellcode_size);
  (TinyCallProxy64->VirtualProtect)(shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size), v9, &v9);
  if ( TinyCallProxy64->FlushInstructionCache )
  {
    FlushInstructionCache = TinyCallProxy64->FlushInstructionCache;
    FlushInstructionCache(-1LL, shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size));
  }
  pShellcodeAddress = shellcodeAddress;
  random_address = mw_pick_random_address(TinyCallProxy64);
  v11 = pShellcodeAddress(pAPIFunc, random_address, v13, a3, a4, a5, a6, a7);
  if ( (TinyCallProxy64->VirtualProtect)(shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size), 0x40LL, &v10) )
    wrapper_memcpy(shellcodeAddress, clean_code, TinyCallProxy64->shellcode_size);
  (TinyCallProxy64->VirtualProtect)(shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size), 32LL, &v10);
  if ( clean_code )
    (TinyCallProxy64->free)(clean_code);
  if ( TinyCallProxy64->FlushInstructionCache )
  {
    v17 = TinyCallProxy64->FlushInstructionCache;
    v17(-1LL, shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size));
  }
  return v11;
}

ANTIVM

التقنية

الوصف

فحص مكافحة تصحيح الأخطاء المستند إلى الوقت

يستخدم تقنية التهرب المستندة إلى الوقت من خلال قياس زمن الانتقال الخاص بتعليمات cpuid. ويغلف استدعاء cpuid بتعليمات rdtsc داخل حلقة، وإذا تجاوزت مدة التنفيذ حدًا معينًا، فإنه يكتشف وجود مصحح أخطاء أو جهاز افتراضي.

فحص Hypervisor

يُجري فحصًا قياسيًا مضادًا للأجهزة الافتراضية عن طريق تنفيذ تعليمات cpuid والتحقق من "بت Hypervisor" (البت 31) في سجل ECX المُعاد. إذا كانت قيمة هذا البت تساوي 1، فذلك يشير إلى وجود Hypervisor.

فحص معرّف المورد

يُجري فحصًا مضادًا للأجهزة الافتراضية بالاستعلام عن صفحة معلومات hypervisor (0x40000000). تشير القيمة المرجعة في EAX والتي هي أكبر من أو تساوي 0x40000000 إلى وجود أوراق CPUID نشطة تخص hypervisor.

فحص إجمالي ذاكرة الوصول العشوائي (RAM)

يُجري فحصًا مضادًا لآلية تحديد الوصول عن طريق الاستعلام عن إجمالي ذاكرة الوصول العشوائي الفعلية. ويستدعي NtQuerySystemInformation لحساب إجمالي حجم الذاكرة بالجيجابايت (عن طريق تحويل عدد البايتات إلى اليمين بمقدار 30 بت) ويُنهي العملية إذا كانت النتيجة أقل من 4 جيجابايت.

فحص عدد المعالجات

يُجري فحصًا مضادًا لآلية تحديد الوصول عن طريق الاستعلام عن عدد أنوية وحدة المعالجة المركزية. ويستدعي NtQuerySystemInformation للحصول على NumberOfProcessors ويقارنه بالقيمة المحددة في تكوين الوحدة ANTIVM.

فحص اسم المستخدم

يقارن اسم المستخدم الحالي بالقيمة المحددة في الوحدة ANTIVM.

فحص اسم الكمبيوتر

يتحقق مما إذا كان اسم الكمبيوتر يتكون من أرقام فقط.

فحص مجلد العمل الحالي

يتحقق مما إذا كان مسار الوحدة الحالي موجودًا على سطح المكتب.

يؤدي فشل الفحص المضاد للمحاكاة الافتراضية إلى إنهاء العملية عبر استدعاء ZwTerminateProcess().

فك ارتباط ملفات NTDLL

يقارن إجراء فك الارتباط قسم .text في ملف ntdll.dll الذي جرى تحميله حاليًا بنسخة نظيفة معينة. ويبحث عن تعليمات الاستدعاء (0xE8) وjmp (0xE9) ويكتشف الارتباط إذا كان نوع التعليمات أو عنوان الوجهة مختلفًا بين النسختين. في حال العثور على ارتباط، يُحدّث البرنامج الضار ملف ntdll.dll المخزن في الذاكرة عن طريق استعادة وحدات البايت الأصلية النظيفة.

for ( i = 0; ; ++i )
{
  result = v5[6];
    if ( i >= result )
      break;
    function_rva = *(v7 + 4LL * *(v6 + 2LL * i));
    if ( *(a1->ntdll_image_base + function_rva) != *(a2->clean_ntdll_buffer + function_rva) )// check if the ntdll functions are hooked
                                                // This is done by comparing the first byte of the fuinction.
    {
      if ( check_if_valid_address(a1, a1->ntdll_image_base, function_rva) )
        mw_clean_dll(a1, a2, function_rva, a1->ntdll_image_base, a2->clean_ntdll_buffer);
    }
  }
  return result;
}

الاستمرارية

يمكن التحكم أيضًا في آلية استمرارية HijackLoader من خلال تكوينه. يُحدد السلوك بالعلامات التالية:

  • اختصار LNK (العلامة رقم 1): إذا كانت العلامة 1، يُنشئ HijackLoader ملف LNK يشير إلى مساره التنفيذي. يُنقل هذا الاختصار بعد ذلك إلى مجلد بدء التشغيل الخاص بالمستخدم لضمان التنفيذ عند تسجيل الدخول.
  • المهمة المجدولة (العلامة رقم 3): إذا كانت العلامة 3، فإنه يُنشئ مهمة مجدولة باستخدام وحدة modTask .

بالإضافة إلى هذه العلامات، يمكن أن يُنشئ HijackLoader آلية استمرارية أخرى عن طريق التحقق من وحدة PERSDATA . تحتوي هذه الوحدة على بيانات التكوين الضرورية، مثل اسم المهمة، لإنشاء مهمة مجدولة ثانية.

طرق الحقن

نوع الحقن

الوصف

إذا كان الملف المراد حقنه هو ملف DLL أو كانت علامات الحقن أقل من 0x3

فستُنفذ الحمولة النهائية ضمن العملية نفسها، ولذلك ستُحدد حمولة DLL في ملف DLL المفرغ.

إذا لم تكن الحمولة النهائية ملف .NET/CLR، فستكون علامات الحقن 0x20 خاطئة و0x80 صحيحة

يخفي حمولة rshell في ملف tinystub PE مزيف باستخدام معاملة NTFS مستردة. ثم يُعيّن ملف PE المخفي هذا في عملية معلقة (FIXED)، حيث تخترق وحدة ESWR سياق السلسلة الرئيسية لتنفيذ الكود rshell.

إذا لم تكن الحمولة النهائية ملف .NET/CLR، فستكون كلٌّ من علامتي الحقن 0x20 و0x80 خاطئتين

تُرسل الوحدة FIXED إلى القرص وتُنشأ كعملية معلقة. ثم تُستخدم الوحدة ESWR لبدء تنفيذ حمولة rshell ضمن العملية FIXED .

تُعيّن علامات الحقن 0x100 على أنها صحيحة و 0x20 على أنها خاطئة

يحقن rshell في ملف نظام شرعي تنفيذي معلق (على سبيل المثال، MSBuild.exe) يُحدد موقعه عن طريق تحليل رأس .NET لمعرفة مسار CLR. تُحدّث الحمولة في الذاكرة قبل تنفيذها عبر اختراق سياق السلسة ومسح رؤوس PE الخاصة بها.

كلاً من علامتي الحقن 0x4 و0x80 تُعد صحيحتين.

يرسل الوحدة FIXED بشكل مشروط، ثم يخزن حمولة rshell في ملف معاد معاملات مسترد (tinystub). ويحقنها في عملية FIXED المعلقة عبر تعيين الأقسام. يبدأ التنفيذ من خلال اختراق سياق السلسلة، متبوعًا بمسح رأس PE الخاص به اختياريًا.

تُعد علامة الحقن 0x4 صحيحة و0x80 تُعد خاطئة.

يشغل HijackLoader عملية معلقة، ويُنشئ قسمًا جديدًا من الذاكرة داخلها ويعينه مباشرةً، ثم يكتب الوحدة rshell المحدثة في هذا القسم. يبدأ التنفيذ عن طريق اختراق سياق السلسلة الرئيسية لتشغيل كود rshell.

تُعد علامة الحقن 0x4 خاطئة و0x10 تُعد صحيحة.

ينفذ عملية التفريغ عن طريق تشغيل الوحدة FIXED، ومسح قسم الذاكرة الرئيسية بها، ثم نسخ الحمولة. يكتب الرأس "MZ" في عمليتي استدعاء منفصلتين. وأخيرًا، يحقن وحدة rshell المحدثة، ويُعدل PEB، ويمحو رأس PE الخاص بالحمولة اختياريًا.

تعيين نوع الحقن على 4

يحقن الحمولة الرئيسية ووحدة rshell عبر تعيين الأقسام. يُنشأ قسم ويُملأ محليًا باستخدام وحدة rshell المحدثة والحمولة، ثم يُعيّن في عملية مستهدفة معلقة (سواء ملف نظام ثنائي أصلي أو وحدة CUSTOMINJECT). يبدأ التنفيذ عن طريق اختراق سياق السلسلة الرئيسية للإشارة إلى نقطة دخول rshell.

الخاتمة

أصبح المستخدمون في مناطق أمريكا اللاتينية أهدافًا بشكل متزايد لرسائل البريد الإلكتروني التي تنتحل صفة الجهات الحكومية أو الهيئات القضائية، والتي يغلب عليها طابعًا يوحي بالعجلة. ترصد X-Force حملات تنطوي بشكل روتيني على روابط مضمنة أو مرفقات ZIP تقود الضحايا إلى برامج تنزيل خبيثة. في الفترة ما بين أغسطس وأكتوبر 2025، رصدت X-Force عدة رسائل بريد إلكتروني تستهدف مستخدمين مقيمين على الأرجح في كولومبيا برسائل بريد إلكتروني تنتحل صفة مكتب المدعي العام الكولومبي وتتضمن مستندات رسمية للتنزيل. Hijackloader هو برنامج ضار معياري مزود بآليات تهرب واستمرارية، يُرسل بشكل أساسي للمستخدمين كملف أرشيف ZIP أو RAR. تحتوي الأرشيفات على ملفات DLL خبيثة يُجرى تحميلها بشكل جانبي وتُستخدم لتوصيل حمولات إضافية. وتُعد رسائل البريد الإلكتروني هذه، والتي هي على الأرجح جزء من حملة واحدة، مهمة لأن العناصر تستخدم Hijackloader لنشر PureHVNC RAT، وهو مزيج لم ترصده X-Force من قبل.

التوصيات

  • تمكين عرض امتدادات الملفات.
  • فحص الحاجة التشغيلية للسماح بحركة المرور من وإلى نطاقات DuckDNS.
  • توخي الحذر عند فتح مرفقات البريد الإلكتروني والنقر فوق الروابط المضمنة الواردة من مصادر غير موثوقة أو غير معروفة.
  • متابعة العمليات وحركة المرور على الشبكة ومؤشرات الاختراق الواردة بالتفصيل في هذا التقرير.
  • تثبيت برامج أمن نقاط النهاية وتحديثها وتكوينها.
  • مراقبة قواعد نقاط النهاية

مؤشرات الاختراق

المؤشر

نوع المؤشر

السياق

troquelesmyj[@]gmail.com

البريد الإلكتروني

البريد الإلكتروني للمرسل

nuevos777[.]duckdns[.]org

النطاق

نطاق C2

7octubredc[.]duckdns[.]org

النطاق

نطاق C2

dckis13[.]duckdns[.]org

النطاق

نطاق C2

dckis7[.]duckdns[.]org

النطاق

نطاق C2

enviopago[.]mysynology[.]net

النطاق

نطاق C2

maximo26[.]duckdns[.]org

النطاق

نطاق C2

sofiavergara[.]duckdns[.]org

النطاق

نطاق C2

hxxps[:]//drive[.]google[.]com
/file/d/1haApB_GMwZb83nw1
YPdIDTLMtksRjkh/view?pli=1

عنوان URL

مضيف SVG

hxxps[:]//drive[.]google[.]com/
file/d/1wzunPhL33jq_ZQug6k0
3hgxi4Eu57VfN/view?usp=sharing

عنوان URL

مضيف SVG

e7120d45ee357f30cb602c0d93
ed8d366f4b11c251c2a3cd4753c5
508c3b15e5

SHA256

ZIP

7e64102405459192813541448c8
fbadc481997a2065f26c848f1e35
94ca404c9

SHA256

RAR

14becb3a9663128543e1868d09
611bd30a2b64c655dfb407a727a
7f2d0fb8b7e

SHA256

Hijackloader

57c49cff3e71bc75641c78a5a72d
8509007a18032510f607c042053
c9d280511

SHA256

Hijackloader

7c3d9ad3f1bd890e3552dc6709
3e161395d4e1fab79ec745220af1
e19a279722

SHA256

Hijackloader

ce42377d3d26853fd1718f69341
c0631208138490decc8e71a5622
df5e9e1f59

SHA256

Hijackloader

a0e4979b4e4a706286438d48f
0e21b0d92cc7bd40c1c3ea5b98
72089aaec0124

SHA256

Hijackloader

6d93a486e077858b75eb814e
9a7bda181189d5833adce7cec7
5775cfda03f514

SHA256

Hijackloader

bdca9849d7263d508b7ed4db
bf86bd628932b117b45933cb28
a7e78171d05cdd

SHA256

Hijackloader

1ae61edf35127264d329b7c0e2
bddb7077e34cc5f9417de86ab
6d2d65bad4b4f

SHA256

Hijackloader

2ec31a8a36d73fa8354a7ac0c
39506dbe12638a0dc1b900f5
7620b8d53ae987f

SHA256

Hijackloader

776bbaa44c7788e0ccd5945
d583de9473b6246c4490669
2cb0a52e6329cb213a

SHA256

Hijackloader

9e9997b54da0c633ffcf0a4fb
94e67b482cf7a89522d1b254
778d0c6c22c70ee

SHA256

Hijackloader

b2f733b67f1ef06d9e5ce76d3
cc848f6e7e3ec2d0c363c76d
5175c6cf85f979b

SHA256

Hijackloader

c93e70d20ba2948a6a8a013
df68e5c4d14d59e5f549417d
1a76833bd1c8efd22

SHA256

Hijackloader

d550a2a327394148c0c3d05
df2fe0156783fc313b4038e45
4f9aa2cb2f0f2090

SHA256

Hijackloader

e668ca17fcdfa818aac35f1206
4d10a0288d7d9c6b688966b
695125b760567d6

SHA256

Hijackloader

fe6d0ee45a70359008b2916
e5116c411a955978b5694cc4
57683ab7b26590e47

SHA256

Hijackloader

977f2f18ff13c93406c5702f83
c04a9412760e02028aefc7c1c
b7d6f2797a9b5

SHA256

Hijackloader

768ca38878c5bb15650343ce
49292315a9834eaf62fad1442
2d52510c3787228

SHA256

Hijackloader

47245b7d2d8cb6b92308deb
80399e0273193d5bca39da8
5a6b2a87a109d18d85

SHA256

Hijackloader

4484b0ac51536890301a0e6
573b962e069e31abc4c0c6f0
f6fc1bf66bf588a93

SHA256

Hijackloader

0113d9f3d93069a29458b3b4
c33610aae03961014df60a9e8
59f3104086d886a

SHA256

Hijackloader

22d474e729d600dcd84ce139
f6208ce3e3390693afa7b52b0
615174fca6d0fe2

SHA256

Hijackloader

2cbfc482e27a2240a48d2fb6f
6f740ff0f08598f83ae643a507
c6f12a865dc28

SHA256

Hijackloader

96ee786c5b6167c0f0f770efba
ce25e97d61e127ef7f58a879b6c
f4b57e202c3

SHA256

Hijackloader

33d0c63777882c9ec514be06
2612a56fdb1f291fcb6676c494
80d3cd4501c508

SHA256

PureHVNC

afecefa6d9bd1e6d1c9214420
9eda320e1fe0f196ffa8e8bc114
e7d3a25503f6

SHA256

PureHVNC

85641c8fb94e8e4c5202152dc
bb2bb26646529290d984988
ecb72e18d63c9bc5

SHA256

PureHVNC

1bf3a1cf9bc7eded0b8994d44
cf2b801bf12bc72dc23fb337dd
d3a64ac235782

SHA256

PureHVNC

لقد تم الآن دمج IBM X-Force Premier Threat Intelligence مع OpenCTI من Filigran، ما يوفر استعلامات تهديدات عملية حول نشاط التهديد هذا وغير ذلك الكثير. اكتسب معارف حول عناصر التهديد، والبرامج الضارة، والمخاطر التي تواجه المجال. بادر بتثبيت X-Force OpenCTI Connector لتعزيز الكشف والاستجابة، وعزز الأمن الإلكتروني لديك مستعينًا بخبرة IBM X-Force. احصل الآن على نسخة تجريبية مجانية لمدة 30 يومًا من X-Force Premier Threat Intelligence!

رسائل Think الإخبارية

هل سيستطيع فريقك اكتشاف الثغرة الأمنية الفورية القادمة في الوقت المناسب؟

انضم إلى قادة الأمن الإلكتروني الذين يعتمدون على الرسالة الإخبارية Think للحصول على أخبار مُنتقاة عن الذكاء الاصطناعي والأمن السيبراني والبيانات والأتمتة. تعلم بسرعة من برامج تعليمية وشروحات يقدّمها خبراء - تُرسَل مباشرة إلى بريدك الإلكتروني. راجع بيان الخصوصية لشركة IBM.

سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجِع بيان الخصوصية لشركة IBM للمزيد من المعلومات.

https://www.ibm.com/sa-ar/privacy
حلول ذات صلة
خدمات إدارة التهديدات

التنبؤ بالتهديدات الحديثة ومنعها والاستجابة لها، ما يزيد من مرونة الأعمال.

 

 استكشف خدمات إدارة التهديدات
حلول الكشف عن التهديدات والاستجابة لها

استخدم الكشف عن التهديدات والاستجابة لها من IBM لتعزيز الأمن لديك وتسريع الكشف عن التهديدات.

 استكشاف حلول الكشف عن التهديدات
حلول الدفاع ضد التهديدات على الأجهزة المحمولة (MTD)

احمِ بيئة الأجهزة المحمولة لديك مع حلول الدفاع الشاملة ضد التهديدات من IBM MaaS360.

 استكشف حلول الدفاع ضد التهديدات على الأجهزة المحمولة
اتخِذ الخطوة التالية

احصل على حلول شاملة لإدارة التهديدات من أجل حماية عملك من الهجمات الإلكترونية بشكل احترافي.

 استكشف خدمات إدارة التهديدات حجز موجز يركز على التهديدات