DuneQuixoteالحملة الجديدة للتجسس الإلكتروني تستهدف الهيئات الحكومية عبر العالم أجمع

اكتشف فريق الباحثين لدى كاسبرسكي حملة خبيثة لا زالت جارية، والتي استهدفت في البداية هيئة حكومية في الشرق الأوسط. ومكن تحقيق معمق في هذا الحادث من تحديد أكثر من 30 عينة من حاقنات البرمجيات الخبيثة المستعملة بنشاط في هذه الحملة، والكشف عن توسيع نطاق المنظمات المستهدفة من قبل هذه الحملة إلى أوروبا وآسيا – المحيط الهادي وأمريكا الشمالية. وتضمنت سلاسل شيفرة هذا البرنامج الخبيث، الذي أطلق عليه اسم DuneQuixote، مقاطع من الشعر الإسباني بهدف التمويه وتحسين تثبيت البرنامج وتجنب اكتشافه، وذلك بغرض التجسس الإلكتروني.
في إطار مراقبتهم المستمرة وتتبعهم للأنشطة الخبيثة، اكتشف خبراء كاسبرسكي في فبراير 2024 حملة جديدة للتجسس الإلكتروني لم تكن معروفة من قبل، والتي استهدفت هيئة حكومية في الشرق الأوسط. وتمكن المهاجم خلال هذه الحملة من التجسس بشكل متكتم على الضحية ومن جمع بيانات حساسة بمساعدة مجموعة من الأدوات المعقدة تم تصميمها بغرض تنفيذ حملة خفية ومستمرة.
تتخذ آليات التقطير الأولى للبرنامج الخبيث شكل ملفات تثبيت معدلة موجهة لتنزيل برنامج Total Commander الشرعي. وتم إدماج مقاطع أشعار إسبانية في حاقنات البرنامج الخبيث التي تتكون من سلاسل مختلفة من عينة إلى أخرى. وتهدف هذه النسخ المختلفة إلى تغيير بصمة كل عينة، مما يزيد من صعوبة اكتشافها بالطرق التقليدية.
تشتمل آلية تقطير البرنامج على شيفرة خبيثة مصممة لتنزيل حمولات مفيدة إضافية في شكل أبواب خلفية يطلق عليها CR4T. وتتيح هذه الأبواب الخلفية، التي تم تطويرها باستعمال لغات البرمجة C/C++ و GoLang، للمهاجمين إمكانية الوصول إلى جهاز الضحية. وتستخدم النسخة المطورة باستعمال لعة GoLang بشكل خاص واجهة برمجة التطبيقات API Telegram لإجراء اتصالات C2، من خلال استعمال شرائط API Telegram العمومية المتوفرة بلغة البرمجة Golang.
« نستخلص من مختلف نسخ البرنامج الخبيث مدى قدرة التأقلم والبراعة التي يتمتع بها الواقفون خلف هذه الحملة. فحتى الآن، اكتشفنا نوعين من البرامج المدسوسة من هذا الصنف، لكننا نعتقد أن هناك أنواع أخرى من هذه البرمجيات المدسوسة »، يقول سيرغي لوخكين، الباحث الرئيسي في المجال الأمني ضمن فريق الأبحاث والتحاليل الشاملة GreAT لدى كاسبرسكي.
مكنت عمليات القياس عن بعد لكاسبرسكي من تحديد أول ضحية في الشرق الأوسط منذ فبراير 2024. إضافة إلى ذلك، تم القيام بعدة تحويلات لنفس البرنامج الخبيث إلى مصلحة شبه عمومية للبحث في البرمجيات الخبيثة في نهاية سنة 2023، والتي شملت أكثر من 30 إرسالية. وتم تحديد مواقع مصادر أخرى يشتبه في كونها تشكل عقد خروج في كل من كوريا الجنوبية ولوكسمبورج واليابان وكندا وهولندا والولايات المتحدة الأمريكية.
لمعرفة المزيد حول حملة DuneQuixote، موعدنا على منصة Securelist.

اسامة السحباني