تكنونيوز - دبي - ‏‏اعترضت شركة «بالو ألتو نتوركس»‏‏، الشركة المتخصصة في تطوير الجيل التالي من الحلول الأمنية،‏‏ في أواخر أكتوبر ومطلع نوفمبر 2018 سلسلة من مستندات وورد المفخخة والتي ‏‏تتبع طريقة في ‏‏تحميل قوالب وورد ‏‎Word Template‎‏ ‏‏عن بعد تحتوي على ماكرو برمجي خبيث. ‏‏وتزيد صعوبة رصد ‏‏أنظمة التحليل الأمني المؤتمتة ‏‏ل‏‏هذه الأنواع من المستندات المفخخة ‏‏رغم شيوعها ‏‏بسبب طبيعتها المجزأة إلى برمجيات تستجلب لاحقًا‏‏ على مراحل‏‏. ويختلف هذا النمط الهجومي وقت تنفيذه في ‏‏عدم إمكانية ‏‏استجلاب البرمجية الخبيثة في حالة توقف عمل خادم القيادة والتحكم الهجومي، مما يجعل مستند التوصيل يبدو أنه غير خبيث‏‏ بصورة عامة‏‏. ‏

‏‏واستهدفت هذه المستندات العديد من الجهات الحكومية ‏‏في أنحاء ‏‏العالم، ولحسن ‏‏الحظ‏‏ كانت خوادم القيادة والتحكم الهجومية ‏‏للعديد من المستندات في حالة عمل، الأمر الذي مكن شركة بالو ألتو نتوركس من استجلاب ‏‏الماكرو وما ‏‏يلحقه ‏‏من حمول‏‏ات‏‏ برمجية خبيثة. وكشف تحليل‏‏ بالو ألتو نتوركس‏‏ عن حمولة برمجية ‏‏تفرز ‏‏في ‏‏ال‏‏مرحلة ‏‏ال‏‏أولى حصان طروادة يسمى «زيبروسي» ‏‎Zebrocy ‎‏ ‏‏وهو برمجية خبيثة معروفة وموثقة بشكل جيد في السابق. ‏

‏‏وبعد تقصي المزيد من البيانات اكتشف‏‏ت شركة بالو ألتو نتوركس‏‏ حمولة ‏‏ثانوية ‏‏أطلق‏‏ت‏‏ عليها ‏‏اسم ‏‏"المدفع" ‏‎‘Cannon’‎‏. ولم يعرف عن ‏‏عصابة ‏‏«سوفاسي» استخدامها لبرمجية "المدفع"‏‏ ‏‏من قبل. ويعمل حصان طروادة هذا ‏‏ب‏‏نمط جديد ‏‏يعمد إلى ‏‏فتح قناة اتصال مع خادم القيادة والتحكم الهجومي بالاعتماد على ‏‏رسائل ‏‏البريد الالكتروني‏‎.‎

‏‏وهذه ‏‏ليست ‏‏المرة ‏‏الأولى التي تعمد فيها جماعة معادية إلى استغلال الأحداث الحالية الجارية بهدف ‏‏التضليل‏‏، لكنه ما ‏‏أثار ‏‏اهتمامنا هو رؤية هذه ‏‏الجماعة‏‏ تحاول استغلال حادثة مأساوية لتمرير هجماتها، وهي واقعة سقوط طائرة «لايون إير» المنكوبة في إندونيسيا ‏‏و‏‏التي استغلت في تسمية المستند. ‏

‏‏تفاصيل الهجوم‏
‏‏كان النموذج الأولي ‏‏الذي اعترضته شركة بالو ألتو نتوركس‏‏ هو ملف لمستند وورد‏‎ ‎‏يحمل اسم‏
‏‎crash list(Lion Air Boeing 737).docx‎‏ ‏‏ويدعى اسم مؤلفه «جوون» ‏‎Joohn‎‏. واتضح أن هذا المستند كان يستهدف منظمة حكومية تعنى بالشؤون الخارجية ‏‏وذلك بانتهاج ‏‏أسلوب انتحال الشخصية في التصيد الاحتيالي. وبمجرد محاولة المستخدم فتح المستند، يبادر تطبيق مايكروسوفت وورد مباشرة إلى تحميل قالب عن بعد يحتوي على ماكرو يستجلب بدوره حمولة برمجية خبيثة من موقع شبكي موصوف في ملف الإعدادات‏‎ settings.xml.rels ‎‏ ‏‏ضمن مستند ‏‎DOCX‎‏. ‏

‏‏ف‏‏عندما ينقر المستخدم على زر "تمكين المحتوى"‏‎ Enable content ‎‏فإن الماكرو المدمج في هذا المستند يبدأ في التنفيذ. ويعتمد ‏‏هذا ‏‏الماكرو ‏‏على ‏‏طريقة غير شائعة كثيرًا، إذ يستغل وظيفة برمجية تدعى ‏‏"‏‏الإغلاق الذاتي‏‏"‏‏ ‏‎AutoClose‎‏ ‏‏والمعدة كي ‏‏تنفذ تلقائيًا فور إغلاق المستند. وهذا يعتبر أسلوبًا من الأساليب المضادة للتحليل الأمني لأن تطبيق مايكروسوفت وورد‏‎ ‎‏لن يقوم بتنفيذ الماكرو الخبيث بالكامل حتى يقوم المستخدم بإغلاق المستند، ما يعني أنه في حالة انتهاء نظام التحليل الأمني المؤتمت من إجراء تحليله دون إغلاق المستند، فإنه قد يفشل في ‏‏رصد هذا ‏‏النشاط الخبيث بالكامل. ‏‏و‏‏في حالة نجاح برمجية الماكرو في التنفيذ ‏‏فس‏‏يؤدي ‏‏ذلك ‏‏إلى تثبيت حمولة ‏‏برمجية خبيثة ‏‏وإدخال ‏‏مستند يحفظ في ‏‏ال‏‏نظام‏‎.‎

التاريخ : 2018/11/29 05:26:28