كشفت شركة Check Point Research عن حملة هجومية سيبرانية جديدة تنفذها مجموعة Silver Fox المتقدمة، وتستغل فيها تعريفات (Drivers) موقعة من مايكروسوفت، لكنها ضعيفة من الناحية الأمنية، لاختراق أنظمة ويندوز وتثبيت برمجية ValleyRAT للتجسس.
استغلال تعريفات موقّعة من مايكروسوفت لتعطيل الحماية
تعتمد الحملة على تعريف WatchDog Antimalware (الملف amsdk.sys، الإصدار 1.0.600)، وهو تعريف موقع من مايكروسوفت ولم يكن مُصنّف سابق كمهدِّد. وقد استغلته المجموعة لتعطيل عمليات برامج مكافحة الفيروسات وأدوات كشف التهديدات، ما سهّل زرع برمجية ValleyRAT في الأنظمة المستهدفة.
تتميّز ValleyRAT بأنها برمجية خلفية (Backdoor) متعددة الوظائف، قادرة على تنفيذ أوامر، وسرقة البيانات، والمراقبة عن بُعد. واستخدمت المجموعة أيضاً تعريف قديم مستند إلى أداة Zemana (الملف ZAM.exe) لضمان التوافق مع أنظمة تتراوح من ويندوز 7 حتى ويندوز 11.
يسمح التعريفان بإنهاء أي عملية في النظام، بما في ذلك العمليات المحمية، مما يمنح المهاجم سيطرة كاملة على الجهاز.
أساليب التمويه والتطور السريع للحملة
تضمنت كل عينة من البرمجيات الضارة العناصر التالية:
- آليات لمنع التحليل والاختبار
- طرق للبقاء بعد إعادة التشغيل
- تعريفين مدمجين داخل الملف التنفيذي
- قائمة مضمنة بأسماء عمليات الحماية لتعطيلها
- محمّل لبرمجية ValleyRAT
طوّرت المجموعة الحملة بسرعة، مع إنتاج نسخ جديدة تستخدم تعريفات مختلفة أو إصدارات معدّلة من تعريفات مُحدثة لتجنب الكشف.
ومن أبرز طرق التمويه، قيام المهاجمين بتعديل تعريف WatchDog المُحدث (wamsdk.sys، الإصدار 1.1.100) عبر تغيير بايت واحد فقط في حقل التاريخ، الذي لا تُغطيه توقيعات مايكروسوفت الرقمية. وبهذا، بقي التوقيع صحيحاً رغم تغيُّر بصمة الملف (Hash) ليظهر كملف جديد يصعب تتبعه.
بنية الهجوم ومصدره الجغرافي
أظهرت تحليلات الباحثين أن البنية التحتية للحملة مرتبطة بخوادم داخل الصين، وأن إعدادات البرمجيات الخبيثة تستهدف برامج أمنية شائعة في شرق آسيا. وتُعد برمجية ValleyRAT من العلامات المميزة لمجموعة Silver Fox، مما دعم نسب الحملة إلى هذه الجهة.
رغم قيام WatchDog بإصدار تحديث لإصلاح ثغرات التصعيد المحلي للصلاحيات، فإن القدرة على إنهاء العمليات لا تزال قائمة، مما يجعل الأنظمة عرضة للخطر.
توصيات لحماية الأنظمة من تقنيات BYOVD
شدد التقرير على أن الاعتماد على توقيعات الملفات وبصمتها لا يكفي. ويوصى بالخطوات التالية:
- تطبيق أحدث قائمة حظر تعريفات من مايكروسوفت
- استخدام قواعد YARA لاكتشاف السلوكيات الخبيثة
- تنفيذ تقنيات المراقبة السلوكية لرصد أي نشاط غير معتاد للتعريفات
وأكّد الباحثون أن “الجهود الاستباقية في اكتشاف هذه الأنماط، والإبلاغ عنها، وتحديث التعريفات الضعيفة، ضرورية لتعزيز حماية أنظمة ويندوز ضد التهديدات المتطوّرة التي تستغل تقنية جلب تعريف ضعيف من طرف المستخدم (BYOVD)”.
