نشر باحثو الأمن في رابيد7 تحليلاً شاملاً ينسب اختراق سلسلة توريد نوتباد++ الذي استمر ستة أشهر إلى مجموعة لوتس بلوسوم، وهي مجموعة تهديدات متقدمة مستمرة مرتبطة بالحكومة الصينية، مع الكشف عن المواصفات التقنية التفصيلية لباب خلفي جديد متطور يُدعى كريساليس تم نشره ضد ضحايا مستهدفين.
جاء الإسناد الذي أُعلن بثقة معتدلة يوم الاثنين بعد أيام من كشف مشرف نوتباد++ دون هو أن المهاجمين اخترقوا البنية التحتية لاستضافة التطبيق بين يونيو وديسمبر 2025. قام الفاعلون بإعادة توجيه حركة التحديثات من مستخدمين معينين بشكل انتقائي إلى خوادم يسيطر عليها المهاجمون والتي قدمت حمولات ضارة، كل ذلك دون المساس بالكود المصدري الفعلي أو كسر أي توقيعات رقمية.
حدد فريق الكشف والاستجابة المُدار في رابيد7 البرنامج الضار على أنه مُثبت NSIS مُحمّل بحصان طروادة يحتوي على ثلاثة مكونات: ملف تنفيذي شرعي مُعاد تسميته من معالج تقديم بيتديفندر يُسمى BluetoothService.exe، وملف شيلكود مُشفر، ومكتبة DLL ضارة يتم تحميلها جانبياً عند تشغيل الملف التنفيذي الشرعي. تتيح هذه التقنية للبرنامج الضار التهرب من أدوات الكشف البسيطة القائمة على أسماء الملفات.
يمثل الباب الخلفي كريساليس نفسه تطوراً كبيراً في تقنيات لوتس بلوسوم. اكتشف الباحثون أنه يستخدم تجزئة API مخصصة في كل من المُحمّل والوحدة الرئيسية، وطبقات متعددة من التعتيم، ونهجاً منظماً للاتصال بالقيادة والسيطرة. يمكن للباب الخلفي إنشاء صدفات تفاعلية، وإنشاء عمليات، وتنفيذ عمليات الملفات، ورفع وتنزيل الملفات، وإزالة نفسه من الأنظمة المخترقة.
المثير للقلق بشكل خاص هو اكتشاف متغير مُحمّل يستفيد من مايكروسوفت واربيرد، وهو إطار حماية كود معقد يستخدمه مايكروسوفت عادةً. يسيء هذا المُحمّل استخدام استدعاء النظام NtQuerySystemInformation مع فئة غير موثقة لتجاوز خطافات وضع المستخدم ومراقبة EDR القياسية، مما يمثل تحولاً واضحاً نحو تقنيات تخفٍ أكثر مرونة.
استند رابيد7 في إسناده إلى تداخلات قوية مع أبحاث سيمانتيك السابقة، بما في ذلك الاستخدام المتطابق لأدوات بيتديفندر المُعاد تسميتها للتحميل الجانبي لـ DLL ومفاتيح كوبالت سترايك العامة المتطابقة المستخرجة من الحمولات المستردة. لوتس بلوسوم، المعروفة أيضاً باسم بيلبغ وبرونز إلجين وراسبيري تايفون، نشطة منذ عام 2009 وتستهدف عادةً المنظمات الحكومية والاتصالات والطيران والبنية التحتية الحيوية في جنوب شرق آسيا وأمريكا الوسطى.
التعليقات