تخطى إلى المحتوى الرئيسي
شارك

SharkLoader الجديد ينشر Cobalt Strike: حملة StrikeShark تستهدف جهات حكومية ودبلوماسية

فريق جلتشمنذ ساعة0 مشاهدة6 دقائق
شارك
SharkLoader الجديد ينشر Cobalt Strike: حملة StrikeShark تستهدف جهات حكومية ودبلوماسية

اكتشاف حملة StrikeShark تنشر برمجية SharkLoader الخبيثة لنشر Cobalt Strike. تستهدف الحملة كيانات حكومية ودبلوماسية عالمياً عبر استغلال ثغرات متعددة.

مقدمة تحليلية

كشفت شركة كاسبرسكي مؤخرًا عن حملة هجوم سيبراني جديدة أُطلق عليها اسم StrikeShark، والتي تنشر عائلة برمجيات خبيثة غير موثقة سابقًا تُدعى SharkLoader. تعمل هذه البرمجية كأداة تحميل لنشر Cobalt Strike Beacon على الأنظمة المخترقة، مما يُمثل تهديدًا خطيرًا للمؤسسات المستهدفة. وقد رصدت كاسبرسكي هذه الحملة تستهدف مجموعة واسعة من الكيانات، بما في ذلك منظمة دبلوماسية في إندونيسيا، وجهات حكومية في تايوان، وشركات تطوير برمجيات في عدة دول، بالإضافة إلى كيانات مرتبطة بقطاعات أخرى في هونغ كونغ، لبنان، سوريا، كولومبيا، مقدونيا الشمالية، نيبال، وصربيا. تُشير طبيعة الضحايا إلى حملة ذات انتشار جغرافي واسع ومجموعة متنوعة من الأهداف، بدلاً من التركيز الضيق على صناعة أو منطقة محددة. ورغم عدم وجود روابط مباشرة بين هذه الحملة وأي جهة تهديد معروفة، إلا أن المشغلين استخدموا أدوات مفتوحة المصدر ما بعد الاختراق مثل FScan و Pillager، والتي يُشاع استخدامها من قبل مطورين ناطقين بالصينية، مما يُشير إلى أن الحملة قد تكون من تدبير جهة تهديد ناطقة بالصينية. تعتمد سلاسل الهجوم على مسارين رئيسيين للوصول الأولي: الأول هو استغلال الثغرات المعروفة في خوادم Exchange Server، مثل CVE-2021-26855 (المعروفة باسم ProxyLogon)، لاختراق الكيان الدبلوماسي الإندونيسي. والمسار الثاني يتمثل في استغلال ثغرة تجاوز المسار (path traversal) التي تؤثر على Openfire (CVE-2023-32315) في حالة منظمات تطوير البرمجيات التايوانية، أو ثغرة تنفيذ التعليمات البرمجية عن بُعد (RCE) الحرجة في GeoServer (CVE-2024-36401) لاستهداف منظمة كولومبية.

التحليل التقني

يعتمد نجاح حملة StrikeShark على الاستغلال المتقن لمجموعة من الثغرات الأمنية المعروفة، بالإضافة إلى استخدام برمجية SharkLoader المخصصة. يُعتقد أن الجهات المهاجمة تستفيد من ثغرات معروفة وربما استغلالات جاهزة (PoC exploits) متوفرة علناً على منصات مثل GitHub لتحقيق الوصول الأولي بطريقة انتهازية. وتشمل الثغرات الأخرى التي استُخدمت في الهجمات ما يلي:
  • Apache Shiro: CVE-2016-4437
  • Hikvision Products: CVE-2021-36260
  • Microsoft SharePoint: CVE-2021-27076
  • Zimbra Collaboration Suite: CVE-2022-27925
  • Microsoft Exchange Server: CVE-2022-41082 (ProxyNotShell)
  • F5 BIG-IP: CVE-2023-46747
  • Fortinet FortiOS: CVE-2024-21762
  • React Server Components: CVE-2025-55182
  • Fortinet FortiOS: CVE-2022-40684
  • Cisco IOS XE Web UI: CVE-2023-20198
بعد الحصول على موطئ قدم، يقوم المهاجمون بتثبيت الاستمرارية عبر نشر "web shells" لتفعيل سلسلة تحميل مكتبات DLL جانبياً (DLL side-loading chain) تتضمن ملف SystemSettings.exe والذي يقوم بدوره بتسليم SharkLoader (في شكل SystemSettings.dll). وهناك طريقة ثانية تستخدمها StrikeShark لتوزيع أداة التحميل وهي عبر ملفات تنفيذية مخصصة للتحميل (dropper executables) تتنكر كبرامج تثبيت شرعية مثل Google Update و Cisco AnyConnect، وتقوم بتشغيل البرمجية الخبيثة بمجرد اكتمال عملية التثبيت. تبقى طريقة تسليم هذه الـ droppers غير معروفة حالياً. بمجرد تحميل مكتبة DLL، يُنفذ SharkLoader ما يُعرف بـ Perfect DLL Hijacking، وهي تقنية تفصيلية كشفها الباحث الأمني Elliot Killick في أكتوبر 2023، لتنفيذ التعليمات البرمجية الخبيثة مع تجاوز قفل محمل Windows (Windows Loader Lock). تحديداً، تم تصميمها لفك تشفير وتحميل ملف DscCoreR.mui، والذي يُستخدم بعد ذلك لفك ضغط وتحميل Cobalt Strike في سياق جديد تم إنشاؤه في حالة تعليق، جنبًا إلى جنب مع مكونين آخرين:
  • SyncRes.dat: يقوم بتثبيت العديد من خطافات واجهة برمجة تطبيقات Windows (Windows API hooks) باستخدام مكتبة Microsoft Detours لمراقبة الاستثناءات التي يتم إنشاؤها أثناء وقت التشغيل.
  • MinHook DLL: يقوم بتثبيت خطافات API لوظائف VirtualAlloc و Sleep لنسخ Cobalt Strike Beacon المُفك ضغطه إلى منطقة الذاكرة المخصصة باستخدام VirtualAlloc. يتم تشغيل الخطاف المتعلق بـ Sleep عندما يقوم الـ Beacon باستدعاء Sleep، على الأرجح في محاولة للتهرب من تقنيات فحص الذاكرة التي تحدد مناطق التعليمات البرمجية القابلة للتنفيذ (RWX) في الذاكرة.
بعد تثبيت خطافات API وكتابة شيلكود Cobalt Strike Beacon إلى المخزن المؤقت للخيط، تستدعي البرمجية الخبيثة واجهة ResumeThread API لاستئناف الخيط المعلق وبدء تنفيذ الـ beacon. وبينما لا يأتي SharkLoader مع آليات استمرارية مدمجة، فقد وُجد أن الجهة المهاجمة تستفيد من مفاتيح سجل التشغيل (Registry Run keys) والمهام المجدولة (scheduled tasks) كوسيلة لتفعيل إطلاق SystemSettings.exe إما عند تسجيل دخول المستخدم، أو حتى إذا لم يتم تسجيل دخول أي مستخدم. تتضمن الهجمات أيضاً مرحلة استطلاع مكثفة بعد الاختراق الأولي وتثبيت الاستمرارية، حيث تشارك الجهة المهاجمة في تعداد Active Directory، وسرقة بيانات الاعتماد باستهداف عملية LSASS وملف قاعدة بيانات NTDS، ونشر أدوات المسح وجمع المعلومات مفتوحة المصدر مثل FScan و Searchall و Pillager.

السياق وتأثير السوق

تُشير حملة StrikeShark التي تتبعها كاسبرسكي إلى تطور مستمر في تكتيكات الجهات المهددة. يُظهر النطاق الجغرافي الواسع للضحايا، والذي يشمل منظمات دبلوماسية وحكومية وشركات تطوير برمجيات في قارات متعددة، أن هذه الحملة ليست محصورة في منطقة أو قطاع معين. هذا التنوع في الأهداف يُبرز نهجاً انتهازياً يستغل أي ثغرة متاحة في الواجهات العامة للمؤسسات. ورغم عدم وجود دليل مباشر يربط StrikeShark بجهات تهديد معروفة، فإن استخدام أدوات مفتوحة المصدر شائعة بين المطورين الناطقين بالصينية يُعطي مؤشراً قوياً على أصل المهاجمين. يُعد استخدام Cobalt Strike، وهو إطار عمل ما بعد الاستغلال تجاري وقوي، دليلاً على مستوى معين من الاحترافية والقدرة لدى المهاجمين. يُفضل هذا الإطار من قبل العديد من جهات التهديد المتقدمة بفضل مرونته وقدراته الواسعة في تنفيذ المهام الخبيثة. تعتمد الحملة بشكل كبير على استغلال الثغرات المعروفة التي تم نشر تصحيحات لها منذ سنوات في بعض الحالات، مما يُسلط الضوء على فشل العديد من المنظمات في تطبيق إدارة تصحيحات فعالة. هذه الثغرات، التي تتراوح تواريخها من 2016 إلى 2025، تُشكل نقاط ضعف حيوية لا تزال تستغل بنشاط. فيما يتعلق بالأهداف النهائية، فإنه في غياب دليل واضح على سرقة البيانات النشطة حتى الآن، يبقى الغرض الدقيق لحملة StrikeShark غير مؤكد. ومع ذلك، فإن استهداف المنظمات الحكومية والدبلوماسية وشركات تطوير البرمجيات يُشير بقوة إلى دوافع التجسس السيبراني، مع اهتمام محتمل بجمع المعلومات الاستخباراتية السياسية أو الملكية الفكرية الحساسة. لا تستبعد كاسبرسكي إمكانية أن يكون المهاجمون يستهدفون الأنظمة الضعيفة بشكل انتهازي، وأن وحدات عمليات الملفات وسرقة البيانات في Cobalt Strike يمكن استخدامها في مرحلة لاحقة.

رؤية Glitch4Techs

من منظور Glitch4Techs، تُجسّد حملة StrikeShark تحدياً أمنياً متعدد الأوجه يتطلب استجابة شاملة. إن اعتماد المهاجمين على مزيج من الثغرات القديمة والجديدة، إلى جانب البرمجيات الخبيثة المخصصة (SharkLoader) والأدوات التجارية القوية (Cobalt Strike)، يُشير إلى أن المنظمات لا تستطيع الاكتفاء بالدفاعات التقليدية. تُبرز الحملة فشلاً ذريعاً في إدارة الثغرات والتصحيحات، حيث أن العديد من الثغرات المستغلة (مثل CVE-2021-26855 و CVE-2016-4437) معروفة منذ سنوات، ومع ذلك لا تزال تشكل نقاط دخول حيوية للمهاجمين. تُظهر تقنية Perfect DLL Hijacking واستراتيجيات تجاوز "Windows Loader Lock" مستوى عالٍ من التطور في تقنيات التهرب من الكشف. هذا يستدعي تحديثاً مستمراً لأنظمة الكشف عن التهديدات والأنظمة المضادة للبرمجيات الخبيثة، للتعرف على هذه السلوكيات المعقدة. علاوة على ذلك، يجب على المؤسسات التركيز على الكشف عن الأنشطة ما بعد الاختراق، بما في ذلك تعداد Active Directory، وسرقة بيانات الاعتماد، واستخدام أدوات مثل FScan و Pillager، حيث أن هذه الخطوات تُعد مؤشرات مبكرة على وجود تهديد مستمر. إن عدم وجود آليات استمرارية مدمجة مباشرة في SharkLoader، واعتماد المهاجمين بدلاً من ذلك على مفاتيح سجل التشغيل (Registry Run keys) والمهام المجدولة (scheduled tasks)، يُقدم نافذة فرص للكشف. يمكن للمراقبين الأمنيين البحث عن هذه الأنشطة غير العادية لـ SystemSettings.exe أو لمهام مجدولة غير مصرح بها. تتوقع Glitch4Techs أن مثل هذه الحملات الهجينة، التي تجمع بين الاستغلال الانتهازي للثغرات المعروفة والتكتيكات المتقدمة، ستستمر في التزايد. ولذلك، يجب على المؤسسات تبني نهج أمني استباقي يركز على الكشف المبكر، والاستجابة السريعة، وتحديث أنظمة الحماية، وتطبيق برامج تدريب للموظفين على التوعية الأمنية لمواجهة التهديدات المتطورة بشكل فعال.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.