قام باحثو الأمن السيبراني بوضع علامة على حصان طروادة جديد للوصول عن بعد قائم على Java (RAT) يسمى QuimaRAT قادر على استهداف بيئات Windows و Linux و macOS.

وفقًا لـ LevelBlue، يتم الإعلان عن البرامج الضارة عبر الأنظمة الأساسية ضمن نموذج البرامج الضارة كخدمة (MaaS)، بتكلفة تتراوح بين 150 دولارًا لمدة شهر واحد إلى 1200 دولار للوصول مدى الحياة. تشمل مستويات الاشتراك الأخرى 300 دولارًا أمريكيًا لمدة ثلاثة أشهر، و500 دولارًا أمريكيًا لمدة ستة أشهر، و700 دولارًا أمريكيًا لمدة اثني عشر شهرًا.

وقالت شركة الأمن السيبراني في تحليل للبرامج الضارة: “تم تصميم RAT حول بنية معيارية، وهو يدعم توسيع القدرة الديناميكية من خلال المكونات الإضافية المشفرة التي يمكن تسليمها وتحميلها وتفريغها وتحديثها مباشرة من البنية التحتية للقيادة والتحكم (C2) الخاصة بها”.

يعلن مؤلف البرامج الضارة أيضًا عن منشئ قادر على إنشاء تنسيقات إخراج متعددة، بما في ذلك JAR وEXE وAPP وSH وBAT وVBS، مما يشير إلى محاولة لمساعدة العملاء المحتملين على حزم العميل المصمم خصيصًا لبيئات وسيناريوهات التسليم المختلفة.

يضمن منشور البائع التخفي الكامل على نظامي التشغيل Windows وLinux، مع ملاحظة عدم وجود عناصر مرئية لواجهة المستخدم أو إدخالات سطح المكتب. ومع ذلك، في نظام التشغيل macOS، يتضمن ممثل التهديد تحذيرًا بأن بعض الميزات مثل التقاط الشاشة والتحكم في الإدخال تتطلب “أذونات المسؤول الممنوحة من قبل المستخدم”.

عند زيارة موقع الويب الخاص بهم، يتم الترحيب بالمستخدمين من خلال رسالة منبثقة تنص على أن النظام الأساسي “يوفر أدوات أمنية هجومية مخصصة حصريًا لأبحاث الأمان المهنية، واختبار الاختراق المصرح به، والبيئات التعليمية الخاضعة للرقابة”، وتحذرهم من استخدامها “لأغراض ضارة أو غير مصرح بها أو غير قانونية”.

في المجمل، يقدم ممثل التهديد أربع أدوات –

  • التحكم في كيما (ويعرف أيضًا باسم QuimaRAT)، أداة إدارة عن بعد تحتوي على 74 وحدة Windows و46 وحدة macOS وLinux
  • منشئ كيما، مجموعة أدوات إنشاء وقاذفة وحدات مع دعم تنسيقات ملفات XLL وLNK وVBS وJS وBAT وDOCM وXLSM وMSC وCPL وCHM
  • محمل كيما، خدمة تسليم حمولة ذاكرة التخزين المؤقت للمتصفح لتجهيز حمولة البرامج الضارة وتسليمها
  • قطارة كيما، مولد حمولة HTML/SVG

يعتبر Quima Loader، على وجه الخصوص، جديرًا بالملاحظة، لأنه يسمح للمشغل بتحميل ملف EXE من خلال لوحة مخصصة وتحديد تنسيق التسليم (على سبيل المثال، HTA أو LNK) وقالب الصفحة المقصودة (على سبيل المثال، فحص CAPTCHA المزيف أو تنبيهات تحديث البرنامج)، وبعد ذلك تقوم الأداة بإنشاء رابط مرحلي، عند فتحه بواسطة الضحية في المتصفح، يبدأ التسلسل التالي من الإجراءات، وفقًا لمطور البرامج الضارة –

  • يتم تحميل الصفحة المقصودة، ويتم جلب الحمولة والاحتفاظ بها في ذاكرة التخزين المؤقت للمتصفح.
  • يظهر زر التنزيل على الصفحة.
  • يؤدي النقر فوقه إلى حفظ “ملف محمل صغير ونظيف” يثق به المتصفح.
  • يقوم الهدف بتشغيل المُحمل الذي يقرأ الحمولة المخزنة مؤقتًا.
  • يتم تنفيذ الحمولة الرئيسية على النظام، مع تجاوز إجراءات حماية SmartScreen على نظام التشغيل Windows.

“إن RAT، ومجموعة منشئة، ومحمل ويب، وقطارة HTML – كل منها مبني على ما يثق به Windows بالفعل،” يدعي مؤلف مجموعة Quima على موقعه على الإنترنت. “مسارات التنفيذ الأصلية، والموارد المملوكة للنظام، والمخرجات النظيفة. AV [antivirus] لا يرى شيئا غير عادي. ولا المستخدم.”

يشير تحليل LevelBlue إلى أن QuimaRAT تم تنظيمه كمشروع Java معياري تم إنشاؤه باستخدام Apache Maven، بينما يحتوي على مكتبات Java Native Access (JNA) الأصلية المضمنة لأنظمة التشغيل Windows وLinux وmacOS عبر أبنية مختلفة. كما يقوم أيضًا بفك تشفير وتحليل ملف التكوين الداخلي الضروري للتحقق من صحة البيئة، وتثبيت الثبات، وتهيئة C2.

وقال الباحثون تشن أفياني ونيكيتا كازيميرسكي: “تسمح هذه المكونات الأصلية لـ RAT بالتفاعل مباشرة مع واجهات برمجة التطبيقات لنظام التشغيل منخفض المستوى من خلال كود C/C++، مما يشير إلى الدعم المتعمد للنشر على نطاق واسع متعدد المنصات”.

قبل التنفيذ، تضمن البرامج الضارة تشغيل نسخة واحدة فقط من حصان طروادة على الجهاز المصاب في أي وقت محدد. ويحقق ذلك عن طريق إنشاء ملف قفل داخل الدليل المؤقت لنظام التشغيل ومنع العمليات الأخرى من استخدامه في وقت واحد. إذا اكتشف أن مثيل RAT آخر يحتفظ بالفعل بقفل الملف، فإنه ينهي التنفيذ.

تم تصميم QuimaRAT لتحديد اسم نظام التشغيل الحالي، واستخدامه لإملاء مسار العمل التالي، بما في ذلك تجنب البيئات الافتراضية والبيئات المعزولة، وإنشاء الثبات، وخدمة الحمولة الرئيسية. علاوة على ذلك، فهو يدعم القدرة على تنفيذ تطبيق حمولة أو شرك إضافي مضمن إلى جانب عملية RAT الرئيسية إذا تم تمكين الوظيفة، المسماة Binder، من خلال التكوين.

تقوم البرامج الضارة بإعداد الثبات باستخدام مجموعة متنوعة من الأساليب الخاصة بنظام التشغيل: مفاتيح تشغيل التسجيل، والمهام المجدولة، ومجلد بدء التشغيل لنظام التشغيل Windows، وإدخالات التشغيل التلقائي لسطح المكتب، ومهام إعادة تشغيل crontab لنظام التشغيل Linux، وملف LaunchAgent plist لنظام التشغيل macOS.

علاوة على ذلك، يتضمن حصان طروادة آلية تحديث مضيف C2 اختيارية تعتمد على Pastebin والتي يتم التحكم فيها عبر التكوين. يسمح هذا الأسلوب للمشغل بتدوير البنية الأساسية لـ C2 أو استبدالها ديناميكيًا دون الحاجة إلى إعادة بناء الحمولة وإعادة توزيعها.

الهدف النهائي لـ QuimaRAT هو إنشاء اتصال مع خادم C2 عبر TCP (أو بالتناوب عبر WebSocket وTLS وHTTPS) لتلقي الأوامر وتنفيذها. ويضمن مكون المراقبة المضمن في البرنامج الضار بقاء القناة نشطة وإعادة الاتصال بها في حالة فقدان الاتصال بخادم C2.

وقال الباحثون: “يحتفظ QuimaRAT بعلم حالة الإغلاق الداخلي المستخدم للتحكم فيما إذا كان يجب على RAT مواصلة أداء عمليات الشبكات وإعادة الاتصال والمراقبة والاسترداد”. “تسمح هذه الآلية لـ QuimaRAT بالتوقف عن عمليات إعادة الاتصال والمراقبة واستعادة الاتصالات بعد تنشيط وضع إيقاف التشغيل.”

تدعم البرمجيات الخبيثة مجموعة واسعة من القدرات، بما في ذلك تنفيذ الأوامر عن بعد، وتسليم الحمولة والمكونات الإضافية عن بعد، وسرقة بيانات الاعتماد، والثبات، ونقل الملفات، والتلاعب بالحافظة، ومراقبة كاميرا الويب، مما يمنح المهاجم سيطرة شاملة على النظام المصاب.

إلى جانب هذه الميزات التقليدية الموجودة في معظم برامج RAT الضارة، يسهل QuimaRAT تنفيذ كود القشرة بدون ملفات على مضيفي Windows وإطار اتصال مرن يتيح الوصول المستمر إلى المضيفين المخترقين.

وقال LevelBlue: “يجب أن يُنظر إلى QuimaRAT على أنها منصة Java RAT معيارية بدلاً من كونها زرعة ثابتة واحدة”. “تدعم مؤشرات التشويش من فئة ProGuard، ونقل Maven Shade، ورموز وقت التشغيل المحفوظة، وأجهزة فك تشفير السلسلة الاصطناعية التقييم القائل بأن QuimaRAT مصمم لتدوير بصمات الأصابع الثابتة دون تغيير سلوكه الأساسي.”

شاركها.
اترك تعليقاً