كتب : شيماء حسن
خلال دراسة تحليلية لإحدى الهجمات التي استهدفت واحدة من مؤسسات الاتصالات في منطقة الشرق الأوسط، اكتشفت شركة بالو ألتو نتوركس أداة بدت على صلة بمجموعة التجسس OilRig، وتعرف هذه الأداة باسم RDAT، وهي أداة تستخدم رسائل البريد الإلكتروني كوسيط للسيطرة والتحكم C2 والتي تعتمد على أسلوب إخفاء الأوامر والبيانات ضمن صور بصيغة bitmap مرفقة برسائل البريد الإلكتروني.
ونشرت شركة سيمانتك في مايو من العام 2020 دراسة حول مجموعة تدعى Greenbup تستهدف مؤسسات الاتصالات في منطقة جنوب شرق آسيا، تضمنت تطورات الهجمات الإلكترونية حتى أبريل من العام 2020.
ولقد لاحظت بالو ألتو نتوركس سلوكا وأدوات مشابهة استهدفت كذلك مؤسسات الاتصالات في منطقة الشرق الأوسط خلال أبريل من العام الجاري، وتحديدا باستخدام أدوات مثل Mimikatz و Bitvise وملفات تحميل أوامر PowerShell إضافة إلى عدد من ملفات الاختراق الضارة والتي يتم رصدها تحت مظلة أدوات RDAT.
وسبق للخبراء الأمنيين لدى بالو ألتو نتوركس أن ربطوا ما بين مجموعة Greenbug ومجموعة OilRig التي سبق الكشف عن تهديداتها في العام 2015. وقد تمّ استخدام أدوات RDAT خلال عمليات مجموعة OilRig أول مرّة في العام 2017، إلا أن شركة بالو ألتو نتوركس استطاعت الكشف عن عدة أدوات ذات صلة كانت قد استخدمت في العام 2018 لكنها استخدمت قناة مختلفة لأوامر السيطرة والتحكم. وعند البحث في هذه العينة الجديدة، تبيّن أن رسائل البريد الإلكتروني التي تعتمد قناة C2 للسيطرة والتحكم استُخدمت هذه المرة بالإضافة إلى محاولة إخفاء المعلومات، مما يزيد من صعوبة الكشف عن طبيعة هذه البيانات.
وعملت بالو ألتو نتوركس على تتبع أدوات RDAT منذ العام 2017، حين رصدت أول حادثة لتحميل الأداة عبر منصة webshell لأوامر تحكم ذات وجه مزدوج سبق الحديث عنها في مدونة "اضطرابات النفط" والمنشورة بتاريخ 26 سبتمبر 2017.
واستمر العمل على تطوير أدوات RDAT منذ ذلك الحين، وهو ما أثمر هذه الإصدارات المتباينة من الأداة التي تعمد على بروتوكولات الإنترنت وأنظمة خادم أسماء النطاق DNS لنشر أوامر التحكم C2.
وفي العام 2018، نجحت مجموعة تطوير هذه الأداة في إضافة إمكانية استخدام خدمات البريد الإلكتروني EWS وذلك لإرسال واستقبال أوامر التحكم عبر رسائل البريد الإلكتروني.
وتبدو رسائل البريد الإلكتروني المحملة بأوامر السيطرة أسلوبا مبتكرا، خاصة وأنها تعتمد على أسلوب إخفاء المعلومات والأوامر ضمن ملفات صور مرفقة بصيغة BMP.
ومن خلال الجمع ما بين استخدام رسائل البريد الإلكتروني وإخفاء الأوامر ضمن ملفات صور مرفقة لتمرير البيانات إلى قنوات التحكم C2 فإننا أمام خطر تهديدات أنشطة سيكون من الصعب التعرّف عليها، مما يعزز من فرصها في تخطي تدابير الحماية المتبّعة.
ويتمتع عملاء "بالو ألتو نتوركس" بالحماية من جميع أنشطة أدوات RDAT الضارة عبر خدمات WildFire وCortex XDR، بما في ذلك حماية أنظمة أسماء النطاق والتحقق من العناوين، والتي تتولى بدورها تحديد وحظر أنشطة أوامر ومحاولات السيطرة.
