Discover what’s really driving the shift toward unified security
Discover how geopolitical tensions are fueling advanced cyber campaigns
Is the Quantum Threat Closer Than You Think?

هجمات شمعون 2: عودة البرمجية الخبيثة Disttrack

 

في شهر أغسطس من العام 2012، استهدفت حملة هجمات كبيرة تحمل اسم شمعون شركة الطاقة في المملكة العربية السعودية، وذلك بهدف إدخال البرمجية الخبيثة في أنظمتها Disttrack، وهي عبارة عن برنامج متعددة الأغراض، وينتهج سلوك برمجية الدودة الخبيثة من خلال محاولته الانتشار والانتقال إلى الأنظمة الأخرى المرتبطة بالشبكة المحلية، وذلك عن طريق استخدام الحسابات والبيانات المعتمدة المسروقة من المدراء. والأهم من ذلك، تشتهر هذه البرمجية بقدرتها على تدمير البيانات، وإخراج الأنظمة المصابة عن العمل. وقد أسفرت حملة الهجمات قبل أربع سنوات عن إصابة وتعطل أكثر من 30,000 نظام.

 

وخلال الأسبوع الماضي، رصدت الوحدة 42 عينة جديدة من برمجية Disttrack الخبيثة، والتي يبدو أنها استخدمت في شن حملة هجمات شمعون مؤخراً، استهدفت على الأقل مؤسسة واحدة في المملكة العربية السعودية. ويبدو أن الغرض الرئيسي من نشر برمجيات Disttrack الجديدة هو التدمير، حيث تم تهيئة وتكوين وربط هذه البرمجيات بواسطة سيرفر من نوع C2 غير تشغيلي، وكانت تستعد للبدء في عملية محو للبيانات بتاريخ 17 نوفمبر 2016، الساعة 8:45 مساءً. وعلى نحو مشابه لهجمات شمعون، تزامن هذا التوقيت مع نهاية أسبوع العمل في المملكة العربية السعودية (الذي يبدأ من الأحد حتى الخميس)، وبالتالي ستتاح الفرصة أما البرمجيات الخبيثة خلال فترة عطلة نهاية الأسبوع للانتشار في كامل الشبكة. وقد انطلقت هجمات شمعون في ليلة القدر، وهي أقدس ليلة في السنة بالنسبة للمسلمين، وذلك كي يتأكد المهاجمون من عدم تواجد الموظفين في مكان العمل.

 

الهدف الوظيفي لبرمجية Disttrack

تركز البرمجيات الخبيثة Disttrack بشكل رئيسي على تدمير البيانات، ومحاولة إلحاق الضرر وتدمير أكبر عدد ممكن من الأنظمة، وللقيام بهذه المهمة، تحاول هذه البرمجيات الخبيثة الانتشار والانتقال إلى الأنظمة الأخرى المرتبطة بالشبكة، وذلك باستخدام حسابات وبيانات معتمدة لمدراء ومسؤولين تمت قرصنتها. وهو أسلوب يماثل لهجمات شمعون التي انطلقت في العام 2012، التي رافقها قرصنة بيانات وحسابات معتمدة قبيل شن، وتم دمجها وبرمجتها ضمن بنية البرمجيات الخبيثة من أجل المساعدة في سرعة انتشارها. كما تملك برمجية Disttrack الخبيثة القدرة على تحميل وتنفيذ تطبيقات إضافية على النظام، وضبط تواريخ محددة عن بعد للبدء بعملية مسح وتعطيل الأنظمة.

 

الانتشار ضمن الشبكات المحلية

تنتشر برمجية Disttrack الخبيثة إلى العديد من الأنظمة الأخرى بشكل تلقائي، وذلك بواسطة الحسابات والبيانات المعتمدة المسروقة. وتحتوي عينة البرمجية الخبيثة Disttrack التي قمنا بتحليلها على أسماء النطاقات الداخلية وحسابات وبيانات المدراء المعتمدة من قبل المؤسسات المستهدفة. ويبدو أن اسم النطاق الداخلي والحسابات والبيانات المعتمدة قد تمت سرقتها وقرصنتها قبيل إنشاء هذه البرمجية، فهو ليس اسم نطاق عام، والحسابات المقرصنة ليست ضعيفة بما يكفي للحصول عليها بواسطة التخمين، إلا عن طريق هجمات قوية أو دليلية.

 

من جهةٍ أخرى، تستخدم برمجية Disttrack الخبيثة أسماء النطاقات الداخلية والحسابات والبيانات المعتمدة للدخول إلى الأنظمة المرتبطة بنفس قطاع الشبكة عن بعد، حيث تقوم بتحديد قطاع الشبكة المحلية المشترك مع النظام المستهدف (وهو ما يطلق عليه الحصول على اسم المضيف)، وذلك من خلال الحصول على عنوان بروتوكول الإنترنت IP الخاص بالنظام (وهو ما يطلق عليه اسم الاستضافة بواسطة الاسم). بعد ذلك، يتم استخدام عناوين بروتوكول الإنترنت للنظام تعداد الـ 24 شبكة (x.x.x.0-255) التي يرتبط بها النظام، لتحاول البرمجية الخبيثة الانتشار والانتقال إلى هذه الأنظمة عن بعد.

 

الاستنتاج النهائي

بعد انقطاع دام أربع سنوات، استخدمت الجهات التي تقف وراء حملة هجمات شمعون برمجية Disttrack الخبيثة لاستهداف مؤسسة واحدة على الأقل في المملكة العربية السعودية. لكن حملة الهجمات الحالية تملك العديد من بروتوكولات TTP المتداخلة مع حملة هجمات شمعون الأصلية، وخاصة من منظور جهة الاستهداف والتوقيت. كما أن البرمجية الخبيثة Disttrack استخدمت خلال الهجمات الأخيرة بطريقة مشابهة إلى حد كبير لطبيعة الاستخدامات المتنوعة التي استخدمت فيها إبان هجمات العام 2012، التي استعانت بجهاز التشغيل RawDisk ذاته (لدرجة استخدام نفس مفتاح الترخيص المؤقت). أما الغرض الرئيسي من وراء استخدام برمجية Disttrack الخبيثة فهو محاولة الكتابة على الملفات وقطاعات التخزين من اجل تدمير البيانات، وإخراج الأنظمة المصابة عن العمل. ولتحقيق أقصى درجات الأذى والضرر، تقوم برمجية Disttrack الخبيثة بمحاولة الانتشار والانتقال إلى الأنظمة أخرى المرتبطة بالشبكة، وذلك باستخدام الحسابات والبيانات المعتمدة المسروقة من المدراء، ما يشير إلى أن الجهات التي تقف وراء هذه التهديدات وصلت من قبل إلى الشبكة، أو قامت بشن هجمات احتيال ناجحة قبل تنفيذ الهجوم بواسطة برمجية Disttrack الخبيثة.

 

لكن جميع عملاء شركة بالو ألتو نتووركس يتمتعون بالحماية الكاملة ضمن البرمجية الخبيثة :Disttrack

·      جميع العينات المعروفة لهذه البرمجية الخبيثة تم التعرف عليها من قبل جدار الحماية WildFire.

·      وضعية الضبط التلقائي تمكن العملاء من مراقبة أنشطة برمجية Disttrack الخبيثة عبر الوسم Disttrack.

Get the latest news, invites to events, and threat alerts