حملة «Caminho» تستغل صور الأرشيف لتمرير حمولات .NET وتنفيذ هجمات بلا ملفات

هجوم تشغيل لودر كخدمة (Loader-as-a-Service) يُنسب بأعلى درجات الثقة لأصل برازيلي برمز برتغالي واضح، ظهر نشاطه منذ مارس 2025 وتطوّر عملياته بشكل ملحوظ في يونيو 2025. يعتمد التشغيل على تقنية استيجانوجرافي (Least Significant Bit — LSB) لإخفاء حمولات .NET داخل ملفات صور تستضيفها مواقع شرعية، ثم تُستخرج هذه الحمولات وتُشغّل مباشرةً في الذاكرة دون ترك آثار على القرص الصلب.

ما رُصِد وآليات التوزيع

الحملة توزّعها رسائل استهداف مُصمَّمة (spear-phishing) مستخدمة حيل اجتماعية تجارية، وتحمّل مرفقات مضغوطة تحتوي سكربتات JavaScript أو Visual Basic Script. عند تنفيذ المرفق يبدأ تسلسل متعدد المراحل: سكربت PowerShell مُوضَّب ومُشوَّه يُحمّل من خدمات شبيهة بـPastebin، ثم يقوم بتنزيل صورٍ مستضافة على منصات أرشيفية عامة، ويستخرج من كل صورة لودر مخفي عبر تقنية LSB. اللودر يُحمّل أخيرًا الحمولة النهائية (مثل Remcos RAT أو XWorm أو Katz Stealer) ويحقنها في مساحة عنوان عملية شرعية (مثال: calc.exe) لتشغيلها في الذاكرة دون كتابة ملفات قابلة للملاحظة على القرص. تُؤمَّن المثابرة عبر مهام مجدولة (scheduled tasks) تعيد تنفيذ سلسلة العدوى.

المؤشرات الفنية وتأثير الحملات

• استخدام LSB لاستضافة حمولات ضمن صور يجعل الكشف الثابت صعبًا، لأن الصور تبدو شرعية بصريًا وتستضيف على منصات موثوقة.

• الاعتماد على خدمات نصية عامة لتحميل أجزاء من السلسلة (PowerShell من منصات شبيهة بـPastebin) يسهل تعديل الحمولة وتغيير البنية التشغيلية بسرعة.

• التنفيذ في الذاكرة وحقن العمليات يقللان من آثار الملفات على القرص ويعقّدان الاكتشاف القائم على توقيعات الملفات.

• توجّه الحملة إلى قطاعات متعددة في أمريكا الجنوبية، أفريقيا، وشرق أوروبا، مع توظيف برمجيات سرقة معلومات (infostealers) وروتكيتات وصول عن بُعد (RATs) للوصول المالي والتجسّسي.

توصيات فنية وميدانية للتخفيف والاستجابة

1. اعتمد كشف السلوك في الذاكرة: فعّل حلول EDR القادرة على كشف عمليات الحقن في الذاكرة وسلوكيات تحميل صور تحتوي بيانات غير متوقعة، ومراقبة نشاط calc.exe والعمليات المشابهة.

2. حظر أو تقييد تنفيذ السكربتات من مرفقات البريد: منع تنفيذ JS/VBS/PowerShell من المرفقات أو تشغيلها داخل حاويات معزولة، وفرض سياسات توقيع السكربتات (Constrained Language Mode/Script Signing).

3. مراقبة الاتصالات إلى منصات النشر النصية وخدمات الأرشفة: رصد التحميلات من خدمات شبيهة بـPastebin وطلبات تحميل الصور من مستودعات أرشيفية، وتطبيق قوائم تحكم على الوصول للخدمات غير المصرّح بها.

4. تحليل الصور استنتاجيًا: دمج فحوص استيجانوجرافي تلقائية وفحوص تجزئة متقدمة على نسخ الصور الواردة/المنزّلة للكشف عن تغييرات LSB أو بيانات ثانوية داخل الملفات.

5. صرامة إدارة الصلاحيات والمثابرة: تشديد سياسات الحسابات الإدارية، مراجعة وجدولة المهام (Scheduled Tasks) بانتظام، وإزالة مهام مجدولة غير معروفة أو مشتبه بها فورًا.

6. تعزيز الرصد الشبكي وحصر الإخراج (egress): مراقبة تحميلات البيانات غير المعتادة وتحليل أنماط POST المشبوهة، وفرض قوائم تحكم للشبكة تقيّد الوصول إلى مخازن الملفات العامة عند الضرورة.

7. إعداد إجراءات استجابة للحوادث (IR): تنفيذ جمع ذاكرة (memory dumps) فوري عند الشبهة، واستخدام أدوات تفكيك الذاكرة لفحص الحمولات .NET المستخرجة، وتجهيز قواعد IOC لانتشار سريع عبر بيئات المؤسسة.