أداة إنتل الموثوقة تتحول إلى حصان طروادة: مجرمو الإنترنت يستغلون اختطاف AppDomain في هجوم برمجيات خبيثة خفي
العنوان الفرعي: قراصنة يسلّحون أداة شرعية من إنتل وخصائص .NET الداخلية لتمرير برمجيات خبيثة متقدمة عبر دفاعات المؤسسات في الشرق الأوسط وخارجه.
يبدو الأمر كمذكرة شركة بريئة حول العمل عن بُعد. لكن عندما ينقر الموظفون في الشركات المالية والجهات الحكومية المستهدفة على المرفق، فإنهم يفتحون دون قصد الباب أمام هجوم سيبراني بالغ التعقيد - هجوم يسيء استخدام برمجيات إنتل الموقّعة نفسها لإطلاق كابوس من البرمجيات الخبيثة غير المرئية والمقيمة في الذاكرة.
خلال الأشهر الأخيرة، تتبّع باحثون في CYFIRMA حملة غامضة تستهدف مؤسسات في أنحاء الشرق الأوسط ومنطقة أوروبا والشرق الأوسط وإفريقيا (EMEA). سلاح المهاجمين السري؟ اختطاف AppDomain - ميزة غير معروفة على نطاق واسع في بيئة تشغيل .NET من مايكروسوفت، والتي تتيح عند إساءة استخدامها للهاكرز حقن شيفرتهم في قلب تطبيق موثوق. في هذه الحالة، التطبيق الموثوق هو IAStorHelp.exe من إنتل، وهو ملف ثنائي موقّع موجود على عدد لا يُحصى من أنظمة المؤسسات.
يبدأ الهجوم بحيلة مألوفة: رسالة تصيّد موجّه، مُفصّلة بسياق محلي، تحثّ المستلمين على مراجعة “تحديثات سياسة العمل من المنزل”. يحتوي أرشيف ZIP المرفق ليس فقط على ملف PDF خداعي، بل أيضًا على أداة إنتل، وملف إعدادات خبيث، ومُحمّل مُموّه، وحمولة مُشفّرة. عندما يفتح المستخدم الاختصار، يشتّت ملف PDF الخداعي انتباهه بينما يقوم ويندوز بصمت بتشغيل الملف الثنائي من إنتل - مُطلقًا البرمجيات الخبيثة.
وهنا تأتي اللمسة الذكية: تطبيقات .NET تتحقق تلقائيًا من وجود ملف إعدادات يطابق اسم الملف التنفيذي. عبر تلويث هذا الإعداد، يوجّه المهاجمون بيئة تشغيل .NET لتحميل AppDomainManager الخاص بهم من DLL غير موقّع ومُموّه. تعمل هذه الشيفرة أولًا، قبل أي منطق شرعي لإنتل، وتَرِث ثقة الملف الثنائي الموقّع - من دون الحاجة إلى العبث بالملفات.
ثم تنشر البرمجيات الخبيثة سلسلة من أساليب التخفي: تأخير الإجراءات بحسابات كثيفة الاستهلاك للمعالج (لإحباط التحليل الآلي)، وفك تشفير حمولتها فقط بعد حسابات مكثفة، وحقن شيفرة الصدفة (shellcode) مباشرة في الذاكرة باستخدام حيل “الترامبولين” في الترجمة الفورية (JIT). كما تُحاكي بيانات تعريف برمجيات شرعية وتحمّل DLLs سليمة من ويندوز للاندماج.
أما الاتصالات فليست أقل انزلاقًا. باستخدام Amazon CloudFront لأسلوب domain fronting، تبدو حركة مرور البرمجيات الخبيثة إلى خوادم التحكم كاتصالات HTTPS قياسية إلى خدمة سحابية موثوقة - ما يجعل حظر عناوين IP أو النطاقات البسيط شبه عديم الجدوى.
النتيجة؟ إطار برمجيات خبيثة لا يعيش إلا في الذاكرة، يترك آثارًا قليلة، ويمكنه تحميل إضافات ديناميكيًا لسرقة البيانات أو تسجيل ضغطات المفاتيح أو التقاط الشاشة - كل ذلك وهو يختبئ خلف واجهة برمجيات إنتل نفسها.
تأملات حول التهديد
تُعد عملية PhantomCLR مثالًا مرعبًا على كيفية استغلال المهاجمين اليوم ليس فقط ثغرات البرمجيات، بل آليات الثقة ذاتها التي تعتمد عليها المؤسسات. ومع تحويل مجرمي الإنترنت للأدوات الشرعية إلى منصات إطلاق خفية، يتعين على المدافعين النظر إلى ما وراء التواقيع والتركيز على السلوكيات غير المعتادة - خصوصًا حول ملفات الإعدادات، وأصول العمليات، ونشاط الذاكرة. بالنسبة للمؤسسات في قطاعات المال والحكومة والبنية التحتية الحيوية، قد تشير أي شذوذات تتعلق بملفات ثنائية موثوقة مثل IAStorHelp.exe إلى اختراق ذي عواقب بعيدة المدى.
WIKICROOK
- AppDomain: AppDomain هو بيئة .NET معزولة تفصل التطبيقات وتؤمّنها، مانعةً أن تؤثر الأخطاء أو الاختراقات في أحدها على الأخرى.
- Authenticode: Authenticode هي أداة من مايكروسوفت للتوقيع الرقمي على الملفات التنفيذية، تتحقق من هوية الناشر وتضمن سلامة الشيفرة لحمايتها من العبث.
- Domain Fronting: Domain fronting يُخفي حركة المرور الخبيثة على أنها شرعية عبر تمريرها من خلال نطاقات موثوقة، ما يساعد المهاجمين على تفادي الكشف وتجاوز ضوابط الأمان.
- JIT (Just: مُصرّف JIT يترجم الشيفرة الوسيطة إلى شيفرة آلة أثناء التشغيل، ما يحسن الأداء لكنه قد يُدخل ثغرات أمنية محتملة.
- Spear: التصيّد الموجّه هو هجوم سيبراني مستهدف يستخدم رسائل بريد إلكتروني مُخصّصة لخداع أفراد أو مؤسسات بعينها للكشف عن معلومات حساسة.
