تستخدم حملة البرامج الضارة الجديدة أنفاق CloudFlare لتقديم الفئران عبر سلاسل التصيد
تتمثل الحملة الجديدة في الاستفادة من نادي Cloudflare Tunnel Sublains لاستضافة حمولات ضارة وتسليمها عبر المرفقات الخبيثة المضمنة في رسائل البريد الإلكتروني الخادقة.
تم تسمية الحملة المستمرة سربنتين#سحابة بواسطة Securonix.
إنه يعزز “البنية التحتية لنفق Cloudflare والرموز المستندة إلى Python لتقديم حمولات محققة للذاكرة من خلال سلسلة من ملفات الاختصار والبرامج النصية المفرطة” ، باحث الأمن تيم بيك قال في تقرير مشاركته مع أخبار المتسلل.
يبدأ الهجوم بإرسال رسائل بريد إلكتروني للتصيد الدائرية أو الفاتورة التي تحمل رابطًا إلى مستند مضغوط يحتوي على ملف اختصار Windows (LNK). يتم إخفاء هذه الاختصارات كوثائق لخداع الضحايا لفتحهم ، وتنشيط تسلسل العدوى بشكل فعال.
تتوج العملية المتعددة الخطوات المعقدة بتنفيذ محمل رمز Shellcode القائم على Python الذي ينفذ حمولات معبأة مع محمل دونات مفتوح المصدر بالكامل في الذاكرة.
وقال Securonix إن الحملة استهدفت الولايات المتحدة والمملكة المتحدة وألمانيا ومناطق أخرى في جميع أنحاء أوروبا وآسيا. إن هوية ممثل (ممثل) التهديد وراء الحملة غير معروفة حاليًا ، على الرغم من أن شركة الأمن السيبراني أشارت إلى طلاقة اللغة الإنجليزية.
ال مجموعة نشاط التهديد كما هو ملحوظ بالنسبة لطرق الوصول الأولية المتغيرة الخاصة بها ، حيث يتم التنقيب عن ملفات اختصار الإنترنت (URL) إلى استخدام ملفات اختصار LNK التي تتنكر كمستندات PDF. ثم يتم استخدام هذه الحمولة لاسترداد مراحل إضافية عبر WebDAV عبر النطاقات الفرعية لنفق CloudFlare.
تجدر الإشارة إلى أنه تم توثيق اختلاف في هذه الحملة من قبل Esentire و Proofpoint في العام الماضي ، مع الهجمات التي تمهد الطريق أمام Asyncrat و Guloader و Purelogs Stealer و Remcos Rat و Venom Rat و Xworm.
يوفر إساءة استخدام TryCloudflare مزايا متعددة. بالنسبة للمبتدئين ، جعل الممثلون الخبيثون منذ فترة طويلة من الصعب اكتشافه باستخدام مقدمي الخدمات السحابية الشرعيين كجبة لعملياتهم ، بما في ذلك توصيل الحمولة الصافية والاتصال بالقيادة والسيطرة (C2).
باستخدام نطاق فرعي ذو سمعة طيبة (“*.[.]com “) للنهايات الشائنة ، فإنه يجعل من الصعب للغاية على المدافعين التمييز بين الأنشطة الضارة والحميدة ، مما يسمح لها بالتهرب من عناوين URL أو آليات الحظر القائمة على المجال.
تحدث العدوى الأولية عند بدء تشغيل ملفات LNK ، مما تسبب في تنزيل حمولة مرحلة التالية ، ملف نص Windows (WSF) ، من مشاركة ويب عن بُعد مستضافة على حدة نفق CloudFlare. يتم تنفيذ ملف WSF لاحقًا باستخدام cscript.exe بطريقة دون إثارة شكوك الضحية.
وقال بيك: “يعمل ملف WSF هذا كحمل قائم على VBScript خفيفة الوزن ، مصمم لتنفيذ ملف دفعة خارجي من مجال CloudFlare الثاني”. “ملف” kiki.bat “بمثابة البرنامج النصي الرئيسي لتسليم الحمولة في سلسلة من الأجراس. بشكل عام ، تم تصميمه للتخلي عن الشبح والمثابرة.”
تتمثل المسؤولية الأساسية في البرنامج النصي الدُفعات في عرض مستند PDF شرك ، والتحقق من برنامج مكافحة الفيروسات ، وتنزيل وتنفيذ حمولات Python ، والتي يتم استخدامها بعد ذلك لتشغيل حمولات معبأة دونات مثل Asyncrat أو Resulg Rat في الذاكرة.
وقال Securonix إن هناك احتمال أن يكون البرنامج النصي مرمّزًا باستخدام نموذج لغة كبير بسبب وجود تعليقات محددة جيدًا في الكود المصدري.
وخلصت الشركة إلى أن “حملة Serpentine#Cloud هي سلسلة عدوى معقدة وطبقة تمزج قليلاً من الهندسة الاجتماعية ، وتقنيات المعيشة على الأراضي ، وتنفيذ قانون الذاكرة المراوغة”. “إن إساءة استخدام البنية التحتية لنفق Cloudflare تعقد رؤية الشبكة من خلال منح الممثل طبقة نقل يمكن التخلص منها ومشفر لتنظيم الملفات الضارة دون الحفاظ على البنية التحتية التقليدية.”
يستهدف ناقلات الظل المستخدمين الكولومبيين عبر تهريب SVG
يأتي الإفصاح في الوقت الذي حدد فيه Acronis حملة نشطة للبرامج الضارة ناقل الظل استهداف المستخدمين في كولومبيا باستخدام ملفات رسومات المتجهات القابلة للتطوير القابلة للتطوير (SVG) المحاطين بالبراعة باعتبارها متجه تسليم البرامج الضارة في رسائل البريد الإلكتروني المخادعة التي تنتحل إعلامات المحكمة.
“قام المهاجمون بتوزيع رسائل البريد الإلكتروني التي تصيب الرمح التي تنتحل شخصية المؤسسات الموثوقة في كولومبيا ، وتقديم شركان SVG مع روابط مضمنة مع JS / VBS Stagers المستضاف على المنصات العامة ، أو ملفات zip المحمية بكلمة المرور التي تحتوي قال.
أدت الهجمات إلى نشر أحصنة طروادة للوصول عن بُعد Asyncrat و Remcos الفئران، مع الحملات الحديثة التي تستخدم أيضا .NET Loader المرتبط بسارق Katz. تتضمن سلاسل الهجوم هذه إخفاء الأحمال ضمن النص المشفر BASE64 لملفات الصور المستضافة على أرشيف الإنترنت.
جانب جدير بالملاحظة في الحملة هو استخدام SVG تهريب تقنيات لتقديم أرشيفات zip الضارة باستخدام ملفات SVG. يتم استضافة هذه الحمولات على خدمات مشاركة الملفات مثل Bitbucket و Dropbox و Discord و Ydray. تحتوي أرشيفات التنزيل على كلاً من المناظر التنفيذية المشروعة و DLLs الضارة ، والتي يتم تحميلها الأخير لخدمة أحصنة طروادة في النهاية.
وقال الباحثون: “لقد تبنى هذا الممثل الطبيعي من تقنيات تهريب SVG السابقة ، محملًا معياريًا ومقيماً للذاكرة يمكنه تنفيذ الحمولات النافعة ديناميكيًا وكليا في الذاكرة ، تاركًا الحد الأدنى من آثارها”.
“وجود سلاسل اللغات البرتغالية ومعلمات الطريقة داخل مرايا المحمل TTPs التي لوحظت بشكل شائع في البرامج الخبيثة المصرفية البرازيلية ، مما يشير إلى إعادة استخدام الكود المحتملة ، أو موارد التطوير المشتركة أو حتى تعاون الممثل عبر المنطقة.”
Clickfix زيادة تدفقات محرك الأقراص
تتزامن النتائج أيضًا مع ارتفاع هجمات الهندسة الاجتماعية التي توظف تكتيك ClickFix لنشر السارق والوصول عن بُعد مثل Lumma Stealer و Sectoprat تحت ستار إصلاح مشكلة أو إكمال التحقق من Captcha.
وفقًا للإحصاءات التي تشاركها ReliaQuest ، شكلت التنازلات في القيادة 23 ٪ من جميع التكتيكات القائمة على التصيد التي لوحظت بين مارس ومايو 2025. قال.
يعد ClickFix فعالًا في المقام الأول لأنه يخدع الأهداف لتنفيذ الإجراءات اليومية غير الضارة التي من غير المرجح أن ترفع أي أعلام حمراء ، لأنها معتادة على رؤية صفحات فحص Captcha وغيرها من الإخطارات. ما يجعل الأمر مقنعًا هو أنه يجعل المستخدمين يقومون بالعمل الرئيسي المتمثل في إصابة أجهزتهم الخاصة بدلاً من الاضطرار إلى اللجوء إلى أساليب أكثر تطوراً مثل استغلال عيوب البرامج.
وقال ريلاكست: “انخفضت الموارد الخارجية الخارجية من المركز الثالث إلى الرابع حيث يستغل المهاجمون أخطاء المستخدمين بشكل متزايد بدلاً من نقاط الضعف الفنية”. “من المحتمل أن يكون هذا التحول مدفوعًا بالبساطة ومعدل النجاح والتطبيق العالمي لحملات الهندسة الاجتماعية مثل ClickFix.”
