SprySOCKS الويندوز يهاجم حكومات بآلية اختفاء متطورة

مقدمة تحليلية

تأكيداً على التطور المستمر في ترسانات المجموعات التهديدية المتقدمة (APTs)، كشفت أبحاث ESET مؤخراً عن ظهور إصدارات جديدة من برمجية SprySOCKS الخبيثة، التي كانت معروفة سابقاً بكونها تستهدف أنظمة Linux، ولكنها الآن تستهدف بيئات Windows. هذا التحول الكبير لا يمثل مجرد توسيع لنطاق الهجوم، بل يعكس استراتيجية معقدة لزيادة الفعالية والتخفي. تم استخدام هذه المتغيرات الجديدة، المعروفة باسم WIN_DRV وWIN_PLUS، في هجمات مستهدفة ضد منظمات حكومية في أربع دول على الأقل: تايوان وتايلاند وباكستان وهندوراس، وذلك خلال الفترة من 2023 إلى 2024. تُنسب هذه الأنشطة بثقة عالية إلى المجموعة التهديدية الصينية 'Earth Lusca'، التي تتبعها ESET تحت اسم 'FishMonger' (وتُعرف أيضاً بأسماء مثل 'Aquatic Panda' و'Red Dev 10' وTAG-22). تُعرف هذه المجموعة بتاريخها في استهداف الكيانات الحكومية والمنظمات المعنية بالشؤون الخارجية والتكنولوجيا والاتصالات. إن تطوير متغيرات Windows لبرمجية SprySOCKS يشير إلى نضج ملحوظ في قدرات Earth Lusca، حيث تسعى لتعزيز بصمتها السيبرانية والوصول إلى أنظمة تشغيل أوسع، مما يمثل تحدياً جديداً وكبيراً لفرق الأمن حول العالم.

التحليل التقني

تتميز متغيرات SprySOCKS الجديدة لنظام Windows، WIN_DRV وWIN_PLUS، بمجموعة واسعة من القدرات الخبيثة، ولكن الفارق الجوهري يكمن في الآليات الإضافية التي يوفرها متغير WIN_DRV. كلاهما يشترك في قدرات أساسية تمكنهما من:

• التواصل عبر بروتوكولات TCP وUDP وWebSocket.
• دعم أكثر من 30 أمراً للتحكم والسيطرة (C2).
• جمع معلومات تفصيلية عن النظام.
• تعداد وإدارة العمليات والخدمات.
• إدارة الملفات (قائمة، إنشاء، حذف، رفع، تحميل، نسخ، إعادة تسمية، تنفيذ).
• دعم وظائف وكيل SOCKS.
• العمل كعميل وخادم على حد سواء.
• تسجيل ضغطات المفاتيح، محتوى الحافظة، وعناوين النوافذ النشطة.

يُعد متغير WIN_DRV الأكثر تطوراً، حيث يضيف قدرات اختفاء على مستوى النواة (kernel-level stealth capabilities). يتم تحميل برنامج تشغيل باسم 'RawWNPF' مباشرة في الذاكرة من خلال برنامج تشغيل آخر يسمى 'DriverLoader' (fsdiskbit.sys). هذا الأخير موقع بشهادة مسربة من مشروع GitHub PastDSE، مما يسلط الضوء على استغلال الثغرات في سلاسل التوريد والشهادات الرقمية. يسمح هذا البرنامج المشغل الخبيث لبرمجية SprySOCKS بإخفاء مجموعة واسعة من الآثار الخبيثة:

• إخفاء العمليات عن طريق التلاعب بواجهة برمجة تطبيقات Windows API.
• إخفاء اتصالات الشبكة.
• إخفاء الملفات من قوائم الدلائل.
• إخفاء إدخالات مفتاح التسجيل (Registry key) الخبيثة التي يستخدمها للثبات.

يتم تحقيق الثبات (Persistence) في WIN_DRV عبر المهام المجدولة (scheduled tasks) وخيارات تنفيذ ملفات الصور (IFEO) عبر `vds.exe`. أما في WIN_PLUS، فيتم تسجيل الحمولة كمعالج طباعة لـ Windows (VSPMsg). ميزة أخرى ملحوظة هي القدرة على فحص حركة مرور TCP الواردة وإعادة توجيه الحزم المصممة خصيصاً إلى باب SprySOCKS الخلفي، مما يمكن الاتصال دون كشف المنفذ المستمع الحقيقي (listening port). تشير بيانات تتبع ESET أيضاً إلى وجود مكون لبرمجية UEFI bootkit الذي قد يستغل CVE-2023-24932، وهي ثغرة Secure Boot التي سبق استخدامها كثغرة يوم-صفر (zero-day) بواسطة برمجية BlackLotus UEFI الخبيثة. ومع ذلك، لم يتم تقديم تفاصيل إضافية أو أدلة قوية لدعم ارتباط مباشر بـ BlackLotus، مما يترك مجالاً للتحقيق المستقبلي.

السياق وتأثير السوق

إن تطور SprySOCKS من منصة Linux إلى Windows يمثل نقطة تحول مهمة في استراتيجيات Earth Lusca وعملياتها. ففي السابق، كانت Earth Lusca (المعروفة أيضاً باسم FishMonger) تستخدم SprySOCKS Linux لاستهداف كيانات حكومية تركز على الشؤون الخارجية والتكنولوجيا والاتصالات، مما يشير إلى اهتماماتها الاستخباراتية طويلة المدى. الآن، مع إصدارات Windows، توسعت قاعدة الضحايا المحتملين بشكل كبير لتشمل النسبة العظمى من المؤسسات حول العالم التي تعتمد على أنظمة Windows. مقارنةً بالمجموعات التهديدية الأخرى، تضع هذه الخطوة Earth Lusca في مصاف المجموعات التي تمتلك أدوات متعددة المنصات، مما يعزز من مرونتها وصعوبة اكتشافها. فبينما يركز العديد من المهاجمين على تطوير أدوات لمنصة واحدة، فإن القدرة على تشغيل نفس البرمجية الخبيثة عبر Linux وWindows تسمح بنشر أوسع وأكثر إرباكاً لفرق الدفاع. التأثير على السوق كبير، حيث يتطلب من المنظمات الحكومية والشركات الخاصة على حد سواء إعادة تقييم استراتيجياتها الأمنية، مع التركيز على حلول الكشف والاستجابة الشاملة التي لا تقتصر على منصة واحدة. كما أن استغلال الشهادات المسربة وتطوير آليات اختفاء على مستوى النواة يرفع من مستوى التعقيد الذي تواجهه فرق الأمن السيبراني. لم يعد الكشف عن التهديدات يقتصر على مراقبة العمليات والاتصالات التقليدية، بل يمتد إلى التحقق من سلامة النواة والبحث عن التلاعب بالـ APIs الداخلية لنظام التشغيل. هذا يدفع نحو استثمارات أكبر في أنظمة كشف التهديدات المتقدمة مثل EDR (Endpoint Detection and Response) وXDR (Extended Detection and Response) التي يمكنها مراقبة سلوك النظام بعمق والكشف عن الأنشطة الخبيثة التي تتجاوز حماية برامج مكافحة الفيروسات التقليدية.

رؤية Glitch4Techs

من منظور Glitch4Techs، فإن ظهور متغيرات SprySOCKS لنظام Windows يؤكد على حقيقة مزعجة: التهديدات السيبرانية لا تظل ثابتة، ويجب أن تتطور الدفاعات بمعدل أسرع. إن قدرات الاختفاء على مستوى النواة، خاصة في متغير WIN_DRV، تمثل مصدر قلق أمني بالغ. فالقدرة على إخفاء العمليات والاتصالات وملفات التسجيل لا تجعل الكشف صعباً فحسب، بل تسمح أيضاً للمهاجمين بالبقاء داخل الشبكة لفترات طويلة دون اكتشاف، مما يمكنهم من جمع المعلومات أو تنفيذ مهام تخريبية. تكمن إحدى القيود المحتملة، كما ذكر التقرير، في عدم وجود دليل قوي يربط مباشرة بين مكون UEFI bootkit وBlackLotus، مما يعني أن هناك حاجة لمزيد من البحث لفهم النطاق الكامل لهذه الثغرة المحتملة. ومع ذلك، مجرد الإشارة إلى استغلال CVE-2023-24932 يثير ناقوس الخطر، حيث أن هجمات UEFI bootkit شديدة الخطورة وتسمح بالسيطرة الكاملة على الجهاز قبل بدء نظام التشغيل، مما يجعل إزالتها شبه مستحيلة دون إعادة تثبيت كاملة. نتوقع أن تستمر مجموعات APTs في استكشاف وتطوير أدوات متعددة المنصات كجزء من استراتيجياتها للتهرب من الكشف. كما أن استغلال الشهادات الرقمية المسربة والتلاعب بمكونات النظام الأساسية، مثل برامج التشغيل في النواة، سيصبح أكثر شيوعاً. يجب على المنظمات تعزيز برامج أمنها من خلال تبني نهج متعدد الطبقات يتضمن:

• تدقيق صارم للشهادات الرقمية وإدارة الهوية.
• حلول EDR/XDR متقدمة للكشف عن السلوك الشاذ.
• التدريب المستمر للموظفين على التهديدات الجديدة.
• تطبيق مبدأ الامتيازات الأقل (Least Privilege).
• إجراء تقييمات منتظمة للثغرات واختبارات الاختراق، مع التركيز على اكتشاف التهديدات على مستوى النواة.

إن الصراع المستمر بين المهاجمين والمدافعين يتصاعد، وتطوير SprySOCKS للويندوز هو تذكير صارخ بأن لا شيء آمن تماماً ما لم يتم تأمينه بشكل استباقي ومستمر. يتطلب هذا الوضع رؤية أمنية شاملة لا تقتصر على أنظمة تشغيل معينة، بل تستوعب الطبيعة المتنوعة والمتغيرة لبيئة التهديدات الحديثة.