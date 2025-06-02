العلامات
ملفات SVG المسلحة: داخل حملة تصيد احتيالي عالمية تستهدف المؤسسات المالية

يد تحمل هاتفًا ذكيًا على خلفية زرقاء مع ظرف أبيض على خطاف صيد معلق في الأعلى

طوال عام 2025، كانت IBM X-Force تتابع حملة تصيد استهدفت المؤسسات المالية حول العالم. استفادت هذه العملية من ملفات Scalable Vector Graphics (SVG) المدمجة مع JavaScript لبدء إصابات البرامج الضارة متعددة المراحل. بينما استخدام SVGs في التصيد الاحتيالي ليس أمراً جديداً، تشير التقارير الأخيرة إلى ارتفاع ملحوظ في الأساليب، مما يشير إلى تحول أوسع في مشهد التهديدات.

تتجاوز هذه الحملة جمع بيانات الاعتماد التقليدي—حيث تستخدم محملات متقدمة، ووحدات الوصول عن بعد المعيارية، وبنية تحتية موثوقة مثل Amazon S3 وTelegram للأوامر والسيطرة (C2). يظهر هذا النشاط كيف يطور المهاجمون تقنيات التصيد الاحتيالي إلى عمليات وصول أولية شاملة.

أهم النقاط:

  • SVG المسلحة كوصول أولي: يستخدم عنصر التهديد ملفات SVG مدمجة مع JavaScript لتجاوز فلاتر الأمان التقليدية وبدء إصابات البرامج الضارة متعددة المراحل.
  • استهداف القطاع المالي: تستخدم الحملة إغراءات تحمل طابع سويفت لانتحال صفة التواصل المالي الموثوق به، وتستهدف على وجه التحديد المؤسسات المالية في مناطق متعددة.
  • تسليم برنامج ضار معتمدة على Java: عند التنفيذ، يسقط JavaScript المدمج فيه SVG أرشيف ZIP يحتوي على ملف JavaScript يستخدم لتحميل محمل مبني على Java. إذا كانت Java موجودة، فهي تنشر برنامج ضار معياري بما في ذلك Blue Banana RAT، SambaSpy، وSessionBot.
  • أساليب الهجوم المتقدمة: يقوم البرنامج الضار بإجراء فحوصات المضادة للتحليل والتحقق من صحة البيئة لضمان التنفيذ فقط في بيئات غير مخدومة بمستخدمين حقيقيين.
  • إساءة استخدام البنية التحتية المشروعة: يتم توجيه الحمولات واتصالات C2 من خلال Amazon S3 و Telegram، مما يساعد على دمج النشاط في حركة المرور العادية للمؤسسة وتجنب الكشف.
  • اتجاه الحرفية الناشئة: تعكس هذه الحملة تحولاً أوسع في تقنيات التصيد الاحتيالي، حيث يسيء المهاجمون بشكل متزايد استخدام صيغ الملفات غير التقليدية مثل SVG لتوصيل برنامج ضار.
رجل ينظر إلى كمبيوتر

تعزيز الذكاء الأمني لديك  

ابقَ على اطلاع على التهديدات من خلال الأخبار والرؤى حول الأمن والذكاء الاصطناعي والمزيد، أسبوعياً في رسائل Think الإخبارية.  

نظرة عامة على الحملة

كشف تحليل X-Force عن حملة تصيّد احتيالي عالمية تستفيد من ملفات SVG كناقل هجوم أولي. وتحتوي هذه الملفات، المتخفية في صورة مستندات معاملات مالية، على JavaScript مضمّن يقوم بكتابة أرشيف بتنسيق ZIP إلى النظام. داخل الأرشيف، يبدأ ملف JavaScript سلسلة إصابة بالبرامج الضارة—مما يؤدي في النهاية إلى نشر RATs مثل Blue Banana وSambaSpy وSessionBot. تم تصميم هذه الحمولات لسرقة بيانات الاعتماد، واختراق الجلسات، والمراقبة، ونقل غير مصرح للبيانات، مما يشكل مخاطر كبيرة على المؤسسات المستهدفة.

يتواصل البرنامج الضار عبر Amazon S3 وواجهة برمجة تطبيقات Telegram Bot، مما يندمج مع حركة مرور حقيقية ويعقد جهود الكشف. ومن خلال استخدام تنسيق ملف نادرًا ما يتم فحصه في عوامل تصفية التصيد الاحتيالي، تتجاوز الحملة الدفاعات التقليدية بسهولة.

يعكس هذا النهج نمطاً ناشئاً في تقارير OSINT الأخيرة، والمدونات التقنية ، وتحليلات الصناعة، مما يبرز كيف يتم إساءة استخدام SVGs بشكل متزايد لتضمين محملة برنامج ضار وإعادة توجيه الضحايا إلى محتوى خبيث.

ومن الجدير بالذكر أن استخدام الحملة لإغراءات تحمل طابع SWIFT—في إشارة إلى مجتمع الاتصالات المالية بين البنوك في جميع أنحاء العالم (SWIFT)، وهي الشبكة العالمية التي تستخدمها المؤسسات المالية للمراسلة الآمنة —يوحي بالتركيز المتعمد على الضحايا في القطاع المالي.

توضح هذه الحركة اتجاها أوسع في فن التصيد الاحتيالي: حيث يتجاوز المهاجمون سرقة بيانات الاعتماد إلى تقديم برنامج ضار متقدم باستخدام وسائل متجهة إبداعية منخفضة الحضور. يجب على المدافعين تكييف منطق الكشف وتدريب الموظفين وفقاً لذلك—مع الاعتراف بأن حتى أنواع الملفات البريئة مثل SVGs يمكن أن تعمل الآن كمنصات لتوصيل البرامج الضارة.

داخل الحملة

على عكس حملات التصيد التقليدية التي تهدف إلى سرقة بيانات الاعتماد من خلال صفحات تسجيل دخول مزيفة، انتقلت هذه الحملة من الطعم إلى المحمل، مما حول ما بدا أنه ملف صورة إلى نقطة انطلاق لسلسلة إصابة متعددة المراحل بالبرامج الضارة.

التسليم الأولي: إغراء مقنع بالصور

تضمنت مرحلة الوصول الأولية للحملة رسائل تصيد احتيالي تنتحل شخصية SWIFT Global Services، تحث المستلمين على مراجعة تأكيدات الدفع أو التحويلات الحساسة للوقت. كان الملف المرفق، والذي تم تقديمه كمستند شرعي، عبارة عن صورة من نوع (SVG) مُسلَّحة تحتوي على JavaScript.

وبمجرد عرضه، يتم إغراء الضحية لتنزيل تقرير يبدو أنه ملف PDF؛ ومع ذلك، فإن اختيار ملف PDF سيؤدي إلى تشغيل JavaScript لحفظ ملف أرشيف ZIP على النظام.

مثال على بريد إلكتروني للتصيد الاحتيالي من SWIFT أُرسل إلى المؤسسات الضحية
الشكل 1: مثال على البريد الإلكتروني للتصيد الاحتيالي من SWIFT أُرسل إلى المؤسسات الضحية
مثال على ملف SVG المعروض
الشكل 2: مثال على ملف SVG المعروض

من SVG إلى أداة تحميل البرامج الضارة

بمجرد استخراج الأرشيف وفك ضغطه، يجد الضحايا ملفًا يسمى Swift Transaction Report.js يحتوي على JavaScript مبهم. تم تصميم البرنامج النصي للتهرب من الكشف باستخدام ترميز الهروب من Unicode وتقنيات تسلسل السلاسل. سيؤدي تنفيذ النص البرمجي إلى بدء تنزيل ملف Java Archive (JAR) مخفي تمامًا، مثل Swift التأكيد Copy.jar و Tranzacție+în+USD-pdf.jar. وقد أدت هذه المؤسسات دور برامج التنزيل في المرحلة الأولى، حيث استفادت من أدوات التشويش مثل Branchlock و Zelix KlassMaster للتهرب من التحليل الثابت والسلوكي.

حللت IBM X-Force بعض عينات SVG التي أسقطت أداة تحميل JAR بدلاً من ملف ZIP الذي يحتوي على JavaScript، متجاوزة مرحلة من سلسلة الإصابة.

إذا كان النظام المستهدف يحتوي على بيئة وقت تشغيل Java مثبت فيها، تقوم أداة التحميل بتنفيذ وبدء سلسلة من الفحوصات البيئية لكشف أدوات التحليل أو آليات تحديد الوصول. شملت هذه المؤشرات فحص عمليات النظام، ومؤشرات الإنتروبيا ومحاكاة افتراضية. فقط بعد التحقق من بيئة المستخدم الحقيقي، حاول البرنامج الضار استرداد حمولات المرحلة الثانية.

ولتحقيق ذلك، تواصلت مع حزم Amazon S3 التي يتحكم بها المهاجم، مدمجة التنزيلات الخبيثة مع حركة خدمة سحابية موثوقة في الأصل. قامت بعض المتغيرات بتضمين الحمولات المشفرة داخل ملفات خادعة ذات مظهر حميد لتقليل احتمالية الكشف أثناء النقل.

تنفيذ الحمولة ونشر البرنامج الضار

بمجرد اجتياز عمليات التحقق من التهرب، أنشأت أداة التحميل اتصالات خارجية بحزم Amazon S3 التي يتحكم فيها المهاجمون لاسترداد حمولات المرحلة الثانية المشفرة. أضاف استخدام البنية التحتية المرتكزة على السحابة تعقيداً لجهود الكشف، حيث غالباً ما تندمج حركة المرور إلى خدمات مثل amazonaws.com مع النشاط المؤسسي العادي.

تمت ملاحظة تحميل الحمولات من:

  • octupusgreat.s3.us-east-1.amazonaws[.]com
  • seasongretting.s3.eu-west-1.amazonaws[.]com
  • seasonmonster.s3.us-east-1.amazonaws[.]com

عند فك التشفير وفك الضغط، كتب البرنامج الضار الملفات إلى مواقع الثبات الرئيسية، بما في ذلك:

  • %AppData%\Microsoft\Windows\Start Menu\Programs\Startup\ — لضمان التنفيذ عند تسجيل دخول المستخدم
  • %AppData%\Microsoft\Vault\cred\ — يشتبه في استخدامه لإعداد ملفات الطعم وتخزين البيانات المخترقة

بالإضافة إلى الاستمرارية القائمة على الملفات، قامت بعض المتغيرات بتسجيل المهام المجدولة أو تعديل مفاتيح التشغيل التلقائي للسجل للحفاظ على الوصول عبر عمليات إعادة تشغيل النظام. كما أن عدة عينات أخرت التنفيذ أو وظيفة مغلقة بناء على تفاعل المستخدم، مما زاد من تعقيد الكشف عبر آلية تحديد الوصول المؤتمتة.

قدرات RAT المعيارية

ينشر البرنامج الضار المستخدم في هذه الحملة بنية معيارية، يتيح للمشغلين تخصيص الوظائف بناء على بيئة وأهداف الضحية. لاحظت شركة IBM X-Force استخدام حمولات متعددة مع قدرات مراقبة متداخلة وسرقة البيانات واستمرارية.

  • Blue Banana RAT
    يتم تسليمه عبر ملف JAR مشوش(windowsdefi.jar), يتيح Blue Banana الوصول عن بعد إلى القشرة، وتنفيذ الملفات، وجمع بيانات الاعتماد (مثل FileZilla) وحتى المشاركة في هجوم موزع لحجب الخدمة (DDoS). وكانت محمية باستخدام Branchlock، و Zelix KlassMaster، والتشويش على Allatori لتعقيد التحليل.
  • SambaSpy RAT
    الاتصال عبر نطاقات DDNS بدون بروتوكول الإنترنت (على سبيل المثال، wwce.zapto[.]org)، SambaSpy يدعم الوصول إلى كاميرا الويب، ومراقبة لوحة المفاتيح، ومراقبة الحافظة، ومعالجة الملفات. يستخدم قنوات مشفرة بتقنية AES لنقل غير مصرح للبيانات ويدعم قابلية التوسعة القائمة على المكونات الإضافية.
  • غرسة SessionBot
    تقوم هذه الغرسة خفيفة الوزن(tg.jar) باستطلاع النظام وجمع تفاصيل مثل سجل RDP وجلسات المستخدم والشبكة والموقع الجغرافي العام لبروتوكول IP. إنه يستفيد من واجهة برمجة تطبيقات Telegram Bot لاستخراج البيانات والتحكم فيها، وغالبًا ما يقوم بتنزيل وحدات إضافية مثل 1.jar أو 2.jar أو recovery.jar.

بالإضافة إلى ذلك، استخدمت الحملة أداة سرقة البريد الإلكتروني تركز على Outlook (email.js) تم تنفيذها عبر wscript.exe. كان يمسح ملفات Outlook الشخصية، ويستخرج محتويات صندوق الوارد، وينظم البيانات لتسربها عبر طلبات HTTP POST المستندة إلى Telegram.

ولإخفاء نشاطه، قام البرنامج الضار بإسقاط ملفات خادعة حميدة المظهر (على سبيل المثال، Tranzacție+în+USD-pdf.txt Swift Confirmation Copy.pdf) الذي فتح عند التنفيذ، ما يعزز وهم الشرعية أثناء تنفيذ العمليات الضارة في الخلفية.

البنية التحتية للأوامر والتحكم

بالإضافة إلى البنية التحتية لـ Amazon S3 الموصوفة سابقًا، استفادت الحملة من واجهة برمجة التطبيقات الروبوتية لـ Telegram لتنفيذ الأوامر والسيطرة (C2) بعد الاختراق. وقد مكّن هذا النهج عناصر التهديد من التفاعل مع المضيفين المصابين واستخراج البيانات الحساسة وإصدار التعليمات بشكل ديناميكي، وكل ذلك عبر البنية التحتية للرسائل المشفرة المسموح بها عادةً في بيئات المؤسسات.

تم توجيه اتصالات C2 من خلال:

  • api.telegram [.] org / bot7369538001 ...
  • api.telegram[.]org/bot7819421465...

استخدمت هذه القنوات لاستطلاع النظام، واستخراج بيانات صندوق الوارد من البريد الإلكتروني، والتقاط الملفات بواسطة وحدات البرامج الضارة مثل SessionBot وسرقة البريد الإلكتروني email.js . وفر استخدام Telegram الخصوصية والتشفير وسهولة التشغيل، كما جعل الكشف من خلال المراقبة التقليدية للشبكة صعباً.

يعكس نموذج البنية التحتية ثنائي القناة — الذي يجمع بين استضافة الحمولة المرتكزة على السحابة والرسائل المشفرة — اتجاهاً متزايداً بين عناصر التهديد المدعومة مالياً لدمج حركة مرور خبيثة مع خدمات موثوقة، مما يطيل وقت التوقف ويزيد من فرص النجاح.

التغيير في النسق

لاحظت X-Force أدلة على حدوث تغيير من استخدام إغراءات تحت نسق SWIFT إلى إغراءات تحت نسق التحقيق في الجرائم المالية ابتداءً من نهاية أبريل.

مثال على ملف SVG يستخدم إغراءً على نسق التحقيق في الجرائم المالية
الشكل 3: مثال على ملف SVG يستخدم إغراءً على نسق التحقيق في الجرائم المالية

تمكَّن ملف SVG باستخدام هذا النسق من حفظ ملف JAR،Case No.86-2025.jar، إلى القرص. إن JAR هي أداة التنزيل نفسها التي تعتمد على Java والمستخدمة في حملة SWIFT. وتضمن تغيير آخر إمكانية الوصول عن بعد (RAT) المستندة إلى Java، وهي"STRAT"، والتي تمت ملاحظتها أثناء تنزيلها مع SambaSpy و Blue Banana. تشتهر STRRAT بقدراتها على سرقة المعلومات ومرونتها في تقديم وظائف خبيثة متعددة. على الرغم من كونه خفيفًا نسبيًا، إلا أن STRAT قادرة على محاكاة سلوك برامج الفدية وتمكين التحكم الكامل عن بُعد في الأنظمة المصابة.

ما أهميتهما

تعكس هذه الحملة تطوراً أوسع في فن التصيد الاحتيالي—متجاوزة جمع الاعتمادات نحو توصيل البرامج الضارة المعيارية، والوصول طويل الأمد، واستخراج البيانات. من خلال إساءة استخدام ملفات SVG، وهي صيغة غالباً ما تغفل عنها مرشحات الأمان، يظهر عنصر التهديد استعداده لاستغلال الثغرات في منطق الكشف التقليدي.

إن استخدام إغراءات تحمل طابع SWIFT يسلط الضوء على التركيز المتعمد على المؤسسات المالية، حيث تستغل الألفة والثقة لزيادة معدلات النقر. وباستخدام البنية التحتية المرتكزة على السحابة وقنوات المراسلة المشفرة مثل Telegram، يدمج المهاجمون بشكل فعال النشاط الضار في حركة المرور العادية، ما يقلل من احتمالية الكشف المبكر.

بالنسبة للمدافعين، يؤكد هذا الأمر على الحاجة إلى إعادة تقييم الافتراضات حول أنواع الملفات "الآمنة" والبنية التحتية الحميدة. لم يعد التصيد الاحتيالي مجرد مشكلة بريد إلكتروني - إنه نقطة دخول لهجمات اختراق معقدة متعددة المراحل. يجب على المنظمات أن تبقى يقظة، وتمديد الرؤية للمتجهات غير التقليدية وتكيف منطق الكشف باستمرار ليواكب وتيرة الابتكار لدى المهاجمين.

التوصيات:

يمكن للمؤسسات تقليل تعرضها لحملات مثل هذه من خلال الجمع بين رؤية نقطة النهاية، والتكوين الآمن، وتثقيف المستخدمين.

  • حافظ على تحديث أدوات مكافحة الفيروسات وأدوات اكتشاف نقاط النهاية والاستجابة لها: تأكد من تحديث محركات الكشف لتحديد الحمولات والسلوكيات المعروفة المرتبطة بالبرامج الضارة معتمدة على Java.
  • فرض المصادقة متعددة العوامل (MFA): طبق المصادقة متعددة العوامل على جميع حسابات المستخدمين، خاصة تلك المستخدمة للبريد الإلكتروني، والوصول عن بعد، والأنظمة المالية.
  • تطبيق تصحيحات البرمجيات بسرعة: حافظ على دورات تحديث منتظمة لأنظمة التشغيل، وقت التشغيل، المتصفحات، وعملاء البريد لتقليل فرص الاستغلال.
  • تعطيل وحدات الماكرو بشكل افتراضي: منع تنفيذ وحدات الماكرو من مرفقات البريد الإلكتروني ما لم تتم الموافقة عليها وتوقيعها بشكل صريح.
  • فرض أقل امتيازات: الحد من أذونات حساب المستخدم إلى ما هو ضروري فقط لتقليل دائرة الانفجار الناجمة عن اختراق ناجح.
  • مراقبة إساءة استخدام السحابة: افحص حركة مرور الشبكة الصادرة بحثاً عن اتصالات مشبوهة بمنصات السحابة مثل Amazon S3، خاصة إلى الدلاء غير المعروفة أو غير المهيأة.
  • تدريب الموظفين على أساليب التصيد الاحتيالي: قم بتثقيف الموظفين—خاصة أولئك في المناصب المالية والإدارية—حول كيفية التعرف على الطعوم المشبوهة، وأنواع الملفات، وطرق التسليم.

مؤشرات الاختراق

المؤشر

نوع المؤشر

السياق

141e8bf99ff6b58816951ed8bfd82
1079d8082be6c02cb36f0fd1ffe4e
06e664

تجزئة ملف SHA256

Tranzacție+în+USD-pdf.jar (أداة تنزيل Java)

ae345b40d165255284bf4c6ab00
a871fcb035b552ac0b20b3cfb19e4
644e49b7

تجزئة ملف SHA256

Swift Confirmation Copy.jar (تنزيل Java)

a4ed118f15c5c943d5964fe381f1bd
4f9ce02d4c0f0212d3f2e95a0e37e
2d1a2

تجزئة ملف SHA256

Case No.86-2025.jar (أداة تنزيل Java)

6a9f195f6fa9b298b94235b9b7dfa
415f67ce29d0f5135d3e6705ae3c8
4da88b

تجزئة ملف SHA256

email.js (سارق البريد الإلكتروني Outlook)

8bcba87df6d459a573441fb848b9
0451d65bce3a0f2ac08844c09892
2672b734

تجزئة ملف SHA256

Swift Confirmation Copy.pdf (ملف خداع)

701435e822a78b82d53281af3ffb2
0b3732462ec99c6f36afdfc6f8eed
4123f9

تجزئة ملف SHA256

Swift Transaction Report.js (أداة تنزيل JavaScript)

F92240185ABF62317800180aba0fb
DA19D8e494a693E5a223003F52A8
8e3dda8

تجزئة ملف SHA256

windowsdefi.jar (Blue Banana RAT)

b0dcc56ae5e90f6f2f4d05c679508
32550b05505731b298f8230f0e43e
f35c9e

تجزئة ملف SHA256

soso.jar (SambaSpy RAT)

bc039b022d1a60cb519ae0f43f07d
7155273867cc40ce78025959733d7
95f96f

تجزئة ملف SHA256

core.jal (STRAT RAT)

6ebab76c90cb36c09119a922d385
45326bb7f211d6b4b9792530e6771
67d0477 

تجزئة ملف SHA256

tg.jar (SessionBot Implant)

tcp[:]//wwce.zapto[.]org:443

المجال

C2 for SambaSpy وBlue Banana RATs

tcp[:]//wce.zapto[.]org:443

المجال

C2 for SambaSpy وBlue Banana RATs

str-master[.]pw

المجال

C2 for STRRAT

api.telegram[.]org

المجال

الاختراق والاتصال عبر روبوت عبر Telegram API

https[:]//octupusgreat.s3.us-east-1.amazonaws[.]com

عنوان URL

الحمولة الأولية المستضافة على حاوية Amazon S3

https[:]//seasongretting.s3.eu-west-1.amazonaws[.]com

عنوان URL

الحمولات المستضافة على حزمة Amazon S3

https[:]//seasonmonster.s3.us-east-1.amazonaws[.]com

عنوان URL

الحمولات المستضافة على حزمة Amazon S3

https[:]//fullpremier.s3.eu-west-1.amazonaws[.]com

عنوان URL

الحمولات المستضافة على حزمة Amazon S3

java -jar Tranzacție+în+USD-pdf.jar

العملية

أمر تنفيذ البرنامج الضار

tasklist.exe

العملية

تستخدم من قبل البرنامج الضار لتعداد أدوات التحليل

wscript.exe email.js

العملية

تنفيذ عملية سرقة البريد الإلكتروني

swiftzjy1@financeplus[.]me

عنوان البريد الإلكتروني

البريد الإلكتروني لعنصر التهديد

Swiftkbp1@farmaciafamiliei[.]md

عنوان البريد الإلكتروني

البريد الإلكتروني لعنصر التهديد

swiftkcs1@farmaciafamiliei[.]md

عنوان البريد الإلكتروني

البريد الإلكتروني لعنصر التهديد

swiftotb1@financeplus[.]me

عنوان البريد الإلكتروني

البريد الإلكتروني لعنصر التهديد

swiftugt1@financeplus[.]me

عنوان البريد الإلكتروني

البريد الإلكتروني لعنصر التهديد

swiftvqz1@financeplus[.]me

عنوان البريد الإلكتروني

البريد الإلكتروني لعنصر التهديد

swiftzjy1@financeplus[.]me

عنوان البريد الإلكتروني

البريد الإلكتروني لعنصر التهديد

Swift Confirmation Copy.jar

ملف أرشيف Java

تُستخدم JAR الخبيثة في التنفيذ الأولي

Swift Transaction Report.js

ملف JavaScript

أداة تحميل JavaScript غامضة

Swift Confirmation Copy.pdf

ملف PDF

ملف PDF وهمي يظهر بعد الإصابة الأولية

تم الآن دمج IBM X-Force Premier Threat Intelligence مع OpenCTI من Filigran، حيث يقدم استعلامات التهديدات قابلة للتنفيذ حول هذا النشاط التهديدي وغير ذلك الكثير يمكنك الوصول إلى رؤى حول عنصر التهديد والبرامج الضارة ومخاطر الصناعة. قم بتثبيت موصل X-Force OpenCTI Connector لتعزيز الكشف والاستجابة، وتعزيز الأمن السيبراني لديك بفضل خبرة IBM X-Force. احصل على نسخة تجريبية من X-Force Premier Threat Intelligence لمدة 30 يومًا اليوم!

