تم اختطاف أكثر من 20 موقعًا إلكترونيًا حكوميًا برازيليًا وتحويلها إلى قنوات لتوصيل البرامج الضارة بشكل نشط فانتومإنيجما تم الكشف عن الحملة بواسطة ANY.RUN، الشركة الرائدة في مجال التحليل التفاعلي للبرامج الضارة وحلول استخبارات التهديدات.
وكشف التحقيق عن سلوك خلفي غير موثق سابقًا، وعلاقات بنية تحتية مخفية، وأذرع هجومية متعددة وراء حملة تعرض البنوك والهيئات العامة للخطر.
من خلال ربط المئات من جلسات وضع الحماية التي تبدو غير ذات صلة، كشف باحثو ANY.RUN عن النطاق الأوسع للعملية وأظهروا كيف ساعدت روابط .gov.br الموثوقة ورسائل البريد الإلكتروني الموثقة في إبقاء النشاط مخفيًا.
للحصول على التحليل الفني الكامل وتفاصيل البنية التحتية والمؤشرات وإرشادات الكشف، اقرأ تقرير التحقيق الكامل في PhantomEnigma
أصبحت البنية التحتية الحكومية الموثوقة هي الإغراء
بدأ الهجوم بوثائق مزيفة تتعلق بالشرطة تم تقديمها على أنها إشعارات رسمية باسم “Ofício Polícia Civil” أو “Procuração Digital”. احتوى بعضها على رموز QR، بينما قام البعض الآخر بتوجيه المستلمين إلى روابط مصممة لتبدو وكأنها موارد حكومية مشروعة.
![]() |
| تم تحليل وثيقة مزيفة تحت عنوان الشرطة داخل وضع الحماية ANY.RUN للحصول على رؤية كاملة لهجوم PhantomEnigma |
في العديد من الحالات، تم إرسال رسائل البريد الإلكتروني من خلال صناديق بريد مخترقة واجتازت عمليات فحص SPF وDKIM وDMARC. وقد أعطى ذلك للرسائل مظهرًا أقوى للشرعية من رسائل البريد الإلكتروني المخادعة العادية.
وتمت بعد ذلك إعادة توجيه الضحايا من خلال مضيفي .gov.br المخترقين أو النطاقات المشابهة ذات السمات الخاصة بالشرطة قبل الوصول إلى أداة التثبيت الضارة. تم استخدام الأنظمة الحكومية كبنية تحتية موثوقة للتوصيل، وليس بالضرورة كأهداف نهائية للحملة.
المضيفون الحكوميون المراقبون
ومن بين الأنظمة المخترقة التي لوحظت أثناء التحقيق كانت timon.ma.gov[.]br،loginam.sesp.es.gov[.]br (الأمن العام للدولة)، aplicacao.cbm.mt.gov[.]br (إدارة الإطفاء)، prodoc.ap.gov[.]ر، وآخرون.
![]() |
| استعلام بحث TI يتضمن مضيفين حكوميين مخترقين |
وقد تم استخدام هذه البوابات الشرعية للبلديات والأمن العام والقضايا في مراحل مختلفة من سلسلة التسليم. وظهر العديد منها أيضًا عبر أكثر من ذراع هجوم PhantomEnigma، مما ساعد الباحثين على ربط الأنشطة التي بدت في البداية غير ذات صلة.
تطور PhantomEnigma: طريقان لاكتشاف أصعب
![]() |
| الجدول الزمني لنشاط PhantomEnigma الخبيث |
يُظهر الجدول الزمني عملية واحدة تتطور عبر مسارين رئيسيين:
توصيل: انتقلت PhantomEnigma من النشاط الذي يركز على الخدمات المصرفية في عام 2025 إلى إساءة استخدام مواقع الويب وحسابات البريد الإلكتروني المخترقة على نطاق .gov.br في عام 2026. وقد أعطى هذا للحملة طريقًا أكثر ثقة للضحايا دون تأكيد مجموعة مستهدفة جديدة.
ارسنال: تطورت البرمجيات الخبيثة من مصرفي ملحق للمتصفح إلى باب خلفي معياري Inno/Node.js قادر على تنفيذ JavaScript وتقديم حمولات إضافية.
بالنسبة لفرق الأمن، يخلق هذا المزيج فجوة خطيرة في الرؤية. تعمل البنية التحتية الموثوقة على تقليل الشكوك، ويمكن أن تتغير الحمولات المعيارية بعد الإصابة، كما يؤدي تدوير نطاقات C2 بسرعة إلى جعل قوائم الحظر الثابتة قديمة. يوفر التحليل السلوكي والصيد المستمر للتهديدات تغطية أكثر موثوقية مع تطور الحملة.
من البريد الإلكتروني الموثوق به إلى التسوية الكاملة: سلسلة هجمات PhantomEnigma
![]() |
| عملية تحليل PhantomEnigma داخل صندوق الحماية التفاعلي |
بمجرد انخراط الضحية في الإغراء، انتقلت الحملة عبر سلسلة عدوى متعددة المراحل:
- البريد الإلكتروني للتصيد الاحتيالي: يصل إغراء مزيف تحت عنوان الشرطة أو وثيقة رسمية إلى الضحية.
- البنية التحتية الموثوقة: تتم إعادة التوجيه من خلال مضيف حكومي مخترق أو نطاق مشابه تحت عنوان الشرطة.
- المثبت الضار: يقوم برنامج Inno Setup أو MSI أو أي مثبت آخر ببدء الإصابة.
- تطبيق الإلكترون المصحح: يقوم البرنامج الشرعي بتحميل باب خلفي خبيث لملف Index.js.
- تفعيل الباب الخلفي: تجمع البرمجيات الخبيثة بيانات النظام، وتثبت الثبات، وتتصل بالبنية التحتية الدوارة لـ C2.
- تسليم المرحلة الثانية: يقوم الباب الخلفي بتنفيذ JavaScript أو تسليم أدوات السرقة والتحميل وبرامج RMM وغيرها من البرامج الضارة.
- تأثير الأعمال: يمكن أن تؤدي العدوى إلى اختراق بيانات الاعتماد، والوصول غير المصرح به، والاحتيال، والكشف عن البيانات، وتعطيل العمليات.
ما وجده الباحثون داخل الباب الخلفي لـ PhantomEnigma
كشفت جلسات وضع الحماية عن أكثر من مجرد أداة تنزيل بسيطة. كان مخفيًا داخل Boostnote المصحح والتطبيقات الأخرى بابًا خلفيًا معياريًا لـ Index.js تم تصميمه لتحديد الأجهزة المصابة، والحفاظ على الوصول، وتقديم حمولات مختلفة عند الطلب.
بمجرد تفعيله، يمكن للباب الخلفي:
- اجمع اسم كمبيوتر الضحية واسم المستخدم وتفاصيل النظام
- أنشئ معرف جهاز ثابتًا واقرأ علامة الحملة المخزنة بجوار أداة التثبيت
- إنشاء الثبات من خلال إعدادات تسجيل الدخول
- تحقق من وجود أوامر جديدة كل 180 ثانية
- تنفيذ JavaScript مباشرة من خلال eval()
- قم بتنزيل وتشغيل الحمولات القابلة للتنفيذ
- التواصل من خلال تنسيقات إشارات متعددة عبر البنية التحتية الدوارة
يسمح هذا التصميم المعياري للمشغل بتغيير الحمولة النهائية دون إعادة بناء سلسلة العدوى بأكملها. يمكن للنظام الذي تعرض في البداية لنفس المثبت أن يتلقى لاحقًا أداة سرقة أو مُحمل أو أداة إدارة عن بعد أو أي ملف تنفيذي آخر، مما يجعل الكشف والاحتواء أكثر صعوبة.
تحذير للبنوك والهيئات العامة
يوضح PhantomEnigma كيف يمكن للمهاجمين تحويل البنية التحتية الموثوقة إلى ميزة كشف. قد يؤدي النطاق الحكومي الشرعي، أو البريد الإلكتروني المصادق عليه، أو حكم الملف النظيف إلى تقليل الشكوك حتى عندما تكون سلسلة العدوى نشطة بالفعل.
وبالنسبة للبنوك ومؤسسات القطاع العام، فإن المخاطر تمتد إلى ما هو أبعد من نقطة نهاية واحدة معرضة للخطر. يمكن أن تؤدي بيانات الاعتماد المسروقة والوصول المستمر من الباب الخلفي إلى كشف الأنظمة الداخلية والبيانات الحساسة والعمليات المالية، بينما تؤدي التنبيهات المجزأة إلى تأخير الاحتواء.
يجب على الفرق الأمنية أن تمنح الموظفين طريقة آمنة للإبلاغ عن الرسائل المشبوهة ذات المظهر الرسمي والتحقيق فيها بعد صدور الحكم الأولي. يمكن أن يؤدي اكتشاف الإغراء الموثوق به مبكرًا إلى منع سرقة بيانات الاعتماد وتسليم الحمولة الإضافية وحادث تشغيلي أوسع.
احصل على شهادات IOC الخاصة بـ PhantomEnigma ونتائج البنية التحتية وإرشادات الكشف لتعزيز عملية البحث عن التهديدات والاستجابة لها.
الوصول إلى التقرير الكامل




