كشف باحثون في مجال الأمن السيبراني عن تفاصيل ممثل التهديد الجديد الذي يطلق عليه اسم السحلية الكامنة التي كانت تدير أعمال بروكسي سكنية ضارة شاملة باستخدام بنية تحتية تضم أكثر من 230 نطاقًا مشابهًا.
ويعود تاريخ هذا النشاط إلى أغسطس 2022 على الأقل، وفقًا لشركة معلومات تهديدات نظام أسماء النطاقات Infoblox. في إحدى الحملات، التي تمت ملاحظتها في وقت سابق من هذا العام، شارك الممثل في استدراج الضحايا باستخدام برنامج تثبيت 7-Zip مصاب بفيروس طروادة ومستضاف على نطاق يسمى “7zip”[.]com،” يقوم سرًا بتجنيد الأجهزة المخترقة كعقد وكيل.
ومن المعروف أيضًا أن Lurking Lizard تنتحل شخصية موفري البروكسي الرئيسيين، بما في ذلك IPIDEA وSmartProxy (الآن Decodo) وIP Royal و911Proxy، ناهيك عن الذهاب إلى حد تشغيل مواقع مراجعة “مستقلة” مزيفة لتوجيه حركة المرور إلى واجهات المتاجر الاحتيالية الخاصة بها. ومن المثير للاهتمام أن البنية التحتية لـ IPIDEA تم تفكيكها بواسطة Google في عملية أجريت في وقت سابق من شهر يناير هذا العام.
كشفت النتائج اللاحقة من Proxyway أن 773,087 عنوان IP فريدًا مرتبطًا بـ SmartProxy كانت موجودة أيضًا في مجموعة بيانات IPIDEA IP المتاحة للجمهور والتي تضم 16,192,293 عنوان IP فريدًا، مما يشير إلى أن SmartProxy إما “يعيد بيع البنية التحتية لـ IPIDEA مباشرة أو يستخدمها كمصدر IP مهم.”
يشير تحليل WHOIS وبصمات البنية التحتية إلى أن Lurking Lizard هي جهة فاعلة مقرها الصين، حيث يستخدم المخطط غير المشروع أيضًا شبكات VPN وخدمات شهيرة مثل HeroSMS كأفخاخ لتوزيع البرامج الضارة الوكيل.
يدور أحد الجوانب البارزة في طريقة عمل الخصم حول الحصول على النطاقات عندما تنتهي صلاحيتها ليرث تاريخه المتراكم وشرعيته، وهي تقنية تُعرف باسم “التقاط النقاط”. في بعض الحالات، استغل المهاجم الشرعية المتصورة المحيطة بأسماء النطاقات التي تمت الإشارة إليها بشكل غير صحيح (على سبيل المثال، “7zip”[.]com” بدلاً من “7-zip[.]org”) لاستخدامها لصالحهم.
مزيد من التحليل لعنوان URL الخاص بـ IPLogger (“iplogger[.]com/mnWD”) المضمنة في العينات المرتبطة بحملة 7-Zip، أنه تم استخدام نفس البنية التحتية الأساسية لخدمة المثبتات المزيفة لـ 7-Zip وWhatsApp والأدوات التي تدعي كذبًا أدوات تنزيل TikTok وYouTube وWireVPN.
يمثل استخدام العلامة التجارية WireVPN أحدث تطور للحملة، باستخدام نهج متعدد الجوانب لاستهداف المستخدمين عبر أنظمة التشغيل، بما في ذلك Android وmacOS وWindows. أحد تطبيقات Android، يسمى “wirevpn – Fast Unlimited Proxy” وتم تطويره بواسطة شركة مقرها المملكة المتحدة تدعى WEILAI NETWORK TECHNOLOGY CO., LIMITED، وقد جمع أكثر من مليون عملية تنزيل، على الرغم من أنه من غير الواضح ما إذا كانت هذه التنزيلات عضوية أم لا.

وقالت Infoblox: “في حملة 7-Zip الأصلية، تم توجيه الضحايا إلى المثبتات الضارة من خلال المحتوى التعليمي، والاكتشاف القائم على البحث، والنطاقات المشابهة”. “من غير الواضح ما إذا كانت التقنيات المماثلة تدفع المستخدمين إلى متغيرات سطح المكتب الحالية، ولكن تطبيقات الهاتف المحمول قد تكون بمثابة قناة اكتساب إضافية.”
ومن غير الواضح أيضًا ما إذا كانت وظيفة الوكيل نفسها – على سبيل المثال، عقدة خروج تقوم بتوجيه حركة مرور الطرف الثالث عبر أجهزة الضحايا – موجودة في تطبيقات الهاتف المحمول، وما إذا كانت تقتصر فقط على تطبيقات سطح المكتب. وبغض النظر عن ذلك، فإنهم يرسمون صورة لما يبدو أنه عمل وكيل غير قانوني يعمل على تغذية نظام بيئي منسق يشمل اكتساب الضحايا، والبنية التحتية للوكالة، والتسويق، وتحقيق الدخل.
والنتيجة هي عملية شاملة تمر بمرحلتين متميزتين:
- تقوم أدوات التثبيت وتطبيقات الهاتف المحمول وغيرها من أدوات الإغراء بتجنيد الأجهزة الضحية في شبكة الروبوتات الوكيلة التي يتحكم فيها الممثل.
- يتم بعد ذلك تحقيق الدخل من المجموعة من خلال العلامات التجارية المشابهة لخدمات الوكيل، بينما تساعد مواقع المراجعة المزيفة في جذب الزيارات إلى واجهات متاجر الممثل.
وقال Infoblox: “لقد أذهلتنا أوجه التشابه بين النشاط الإجرامي الذي تم الكشف عنه مؤخرًا في مساحة الوكيل السكني والإعلانات الضارة التي ابتليت بها الإعلانات التابعة”. “هناك قصة واضحة: قد يكون جهاز التلفزيون الخاص بك جزءًا من شبكة الروبوتات العملاقة التي تشن هجمات عبر الإنترنت. لكن القصة الحقيقية أكثر تعقيدًا بكثير، ولا تزال الحلول بعيدة المنال.”
“بدلاً من تشغيل حملة برامج ضارة واحدة، تدير Lurking Lizard مراحل متعددة من دورة حياة الوكيل السكني لعدة سنوات، بدءًا من الحصول على أجهزة الضحية وحتى التسويق وبيع الوصول إلى الشبكة الناتجة.”
يأتي هذا التطوير بعد أيام من إعلان Google أنها أدت إلى تدهور كبير في شبكة الوكيل السكنية NetNut (المعروفة أيضًا باسم Popa) والتي حولت ما لا يقل عن 2 مليون جهاز، مثل أجهزة التلفزيون الذكية وصناديق البث، إلى قنوات لحركة مرور الشبكة غير المصرح بها من خلال حزم SDK المليئة بالبرامج الضارة والتي يتم تثبيتها مسبقًا قبل الشراء أو من خلال تطبيقات تحتوي على رمز وكيل مخفي.
وقالت جوجل: “هذا يخلق مخاطر جسيمة لأصحاب الأجهزة المطمئنين، حيث يمكن للمهاجمين استخدام عناوين IP المنزلية الخاصة بهم كمنصة انطلاق للقرصنة وغيرها من الأنشطة غير المصرح بها”. “وبالتالي، يمكن للمستخدمين وضع علامة على حركة المرور المشروعة الخاصة بهم على أنها مشبوهة، أو حظرها من قبل مزودي الخدمة.”
