كشف باحثون في الأمن السيبراني عن حملة هجمات جديدة تستخدم برمجية فدية غير موثقة سابقا تُعرف باسم Charon، لاستهداف القطاع العام وقطاع الطيران في الشرق الأوسط، مع الاعتماد على أساليب متقدمة شبيهة بتلك التي تنفذها مجموعات التهديد المستمر المتقدم (APT). وتشمل هذه الأساليب التحميل الجانبي لملفات DLL، وحقن العمليات، وتجاوز أنظمة الكشف والاستجابة الطرفية (EDR).
وأوضحت شركة Trend Micro أن تقنيات التحميل الجانبي في هذا الهجوم تشبه هجمات سابقة نفذتها مجموعة قرصنة مرتبطة بالصين تُعرف باسم Earth Baxia، والتي استهدفت سابقا جهات حكومية في تايوان ومنطقة آسيا والمحيط الهادئ. وفي الحملة الحالية، استُخدم ملف متصفح شرعي Edge.exe (كان اسمه الأصلي cookie_exporter.exe) لتحميل مكتبة msedge.dll الخبيثة (SWORDLDR)، التي تولت نشر الحمولة الأساسية لبرمجية Charon.
تقوم Charon بإنهاء الخدمات والعمليات الأمنية، وحذف النسخ الاحتياطية ونسخ الظل، وتستخدم التشفير الجزئي وتقنيات المعالجة المتعددة لجعل عملية قفل الملفات أسرع وأكثر فاعلية. كما تحتوي على برنامج تشغيل مأخوذ من مشروع مفتوح المصدر Dark-Kill لتعطيل حلول EDR عبر هجوم “إحضار برنامج تشغيل ضعيف” (BYOVD)، رغم أن هذه الوظيفة لم تُفعل أثناء التنفيذ، ما يشير إلى أنها قيد التطوير.
تشير الأدلة إلى أن الهجوم كان موجها وليس عشوائيا، إذ تضمنت رسائل الفدية أسماء الضحايا بشكل مخصص، وهي سمة نادرة في هجمات الفدية التقليدية. ولم يتضح بعد أسلوب الوصول الأولي للأنظمة.
ورغم التشابه الفني مع Earth Baxia، رجحت Trend Micro ثلاثة احتمالات: تورط مباشر للمجموعة، أو عملية خداع متعمدة لتقليد أسلوبها، أو جهة تهديد جديدة طورت أساليب مشابهة. وأكدت الشركة أن هذا يعكس تزايد استخدام مشغلي الفدية لأساليب متطورة في النشر وتفادي الدفاعات، ما يطمس الحدود بين الجرائم الإلكترونية وأنشطة الدول.
تزامن هذا الكشف مع تقرير لشركة eSentire عن حملة برمجية فدية أخرى باسم Interlock، اعتمدت على طُعم ClickFix لنشر باب خلفي مكتوب بـ PHP لتنفيذ سرقة بيانات الاعتماد، تلاه نشر أداة تحكم عن بُعد NodeSnake وزرع برمجيات إضافية للاستطلاع ونشر الفدية.
