بالو ألتو نتوركس تكشف عن برمجية “ويبشيل” الخبيثة ثنائية الوظيفة التي تستهدف منطقة الشرق الأوسط
البرمجية الخبيثة تقوم بجمع كلمات سرّ الدخول إلى الحسابات المسجلة على الكمبيوتر
أثناء عمليات التحقيق في أحد الحوادث أمنية التي وقعت مؤخراً، اكتشفت شركة بالو ألتو نتوركس برمجية خبيثة من فئة “ويبشيل” Webshell، والتي يعتقد بأنها استخدمت من قبل الجهة الإجرامية للوصول عن بعد إلى شبكة إحدى المؤسسات المستهدفة في منطقة الشرق الأوسط. وشكلت بنية برمجية “ويبشيل” الخبيثة هذه أمراً مثيراً للاهتمام بحد ذاته، إذ تكونت من برمجيتي “ويبشيل” منفصلتين، تعمل الأولى على حفظ وتحميل وظائف البرمجية الثانية بالكامل، لتُمكن بدورها الجهة المهددة من تشغيل مجموعة متنوعة من الأوامر انطلاقاً من السيرفر المستهدف. وبسبب وجود هاتين الطبقتين، تم باستخدام اسم “ثنائية الوظيفة” لوصف وتتبع حركة برمجية “ويبشيل” الخبيثة هذه.
وخلال عمليات التحليل التي قمنا بها، تمكنت بالو ألتو نتوركس من استخراج الأوامر التي تم تنفيذها من قبل برمجية “ويبشيل” ثنائية الوظيفة انطلاقاً من سجلات السيرفر المستهدف. وأظهرت نتائج عمليات التحليل التي قمنا بها بأن الأوامر الصادرة عن الجهة المهددة تعود إلى شهر يونيو من العام 2016، ما يشير إلى تمكن الجهة المهددة من الوصول إلى الهدف منذ حوالي العام. بالإضافة إلى أن الأوامر الصادرة تظهر بأن الجهة المهددة كانت مهتمةً بجمع بيانات وحسابات التفويض السرية من السيرفر المستهدف باستخدام أداة ميميكاتز Mimikatz. كما رصدنا استخدام الجهة المهاجمة لبرمجية “ويبشيل” الخبيثة ثنائية الوظيفة لتتحرك بشكل جانبي على طول الشبكة من خلال نسخ نفسها وغيرها من برمجيات “ويبشيل” الخبيثة ونشرها في السيرفرات الأخرى.
وامتازت برمجية “ويبشيل” الخبيثة ثنائية الوظيفة بمنهجية فعالة مكونة من طبقتين، ما جعل من الصعوبة بمكان اكتشافها. وبفضل الطبقات المتعددة، وتضمين محتوى الموقع الالكتروني الشرعي (المرخص له) الذي يتم عرضه بشكل صحيح ضمن المتصفح، فإن الجهة التي أطلقت هذه البرمجية باتت تتمتع بفترات وصول طويلة إلى الشبكة دون الكشف عنها، وهو ما اتضح بجلاء من خلال قدرتها على الوصول إلى النظام المستهدف، والتلاعب به، لما يقرب من عام كامل. واستنادا إلى الأوامر الصادرة للبرمجية ثنائية الوظيفة، فقد استخدمت الجهات المهددة برمجية “ويبشيل” هذه بهدف تقديم كافة المتغيرات الضرورية لأداة ميميكاتز Mimikatz كي تتمكن من جمع كلمات سر الدخول إلى الحسابات المسجلة. كما استخدمت الجهة المهددة البرمجية ثنائية الوظيفة بهدف التحرك أفقياً عن طريق نسخ برمجيات “ويبشيل” الخبيثة، ونشرها عن بعد ضمن الأنظمة أخرى المرتبطة بالشبكة.