‍الفئة: استخبارات الخصم‍
الصناعة: جميع الصناعات‍
التحفيز:المالية‍
مصدر*: C - موثوقة إلى حد ما
1 - أكدته مصادر مستقلة

ملخص تنفيذي

في أكتوبر 2023، كشف مطور PRISMA عن استغلال خطير يسمح بإنشاء ملفات تعريف الارتباط الدائمة من Google من خلال التلاعب بالرمز. يتيح هذا الاستغلال الوصول المستمر إلى خدمات Google، حتى بعد إعادة تعيين كلمة مرور المستخدم. قام عميل، وهو ممثل تهديد، لاحقًا بإجراء هندسة عكسية لهذا البرنامج النصي ودمجه في Lumma Infostealer (انظر الملحق 8)، وحماية المنهجية بتقنيات البلاكبوكسينغ المتقدمة. كان هذا بمثابة بداية تأثير مضاعف، حيث انتشر الاستغلال بسرعة بين مجموعات البرامج الضارة المختلفة للبقاء على قدم المساواة مع الميزات الفريدة.

‍

قام فريق أبحاث التهديدات في CloudSek، بالاستفادة من HUMINT والتحليل الفني، بتحديد جذر الاستغلال في نقطة نهاية Google Oauth غير الموثقة المسماة «MultiLogin». يتعمق هذا التقرير في اكتشاف الاستغلال وتطوره والآثار الأوسع للأمن السيبراني.

‍

التسلسل الزمني للأحداث:

20 أكتوبر 2023: تم الكشف عن الاستغلال لأول مرة على قناة Telegram. (الشكل 1)

14 نوفمبر 2023: تعلن Lumma عن تكامل الميزة مع نهج Blackboxing المتقدم. بدأت الميزة في Booming بسبب نشر حقل الأمان حول ميزة Lumma الفريدة. (الملحق 1)

رادامانثيس 17 نوفمبر: تعلن Rhadamanthys عن الميزة بنهج Blackboxing مماثل لـ Lumma (الملحق 6)

24 نوفمبر 2023: يقوم Lumma بتحديث الاستغلال لمواجهة إجراءات الكشف عن الاحتيال من Google. (الملحق 7)

السرقة 1 ديسمبر 2023 - تم تنفيذ ميزة استعادة الرمز المميز لحساب google (الملحق 4)

ميدوزا 11 ديسمبر 2023 - تم تنفيذ ميزة استعادة الرمز المميز لحساب google (الملحق 5)

رايز برو 12 ديسمبر 2023 - تم تنفيذ ميزة استعادة الرمز المميز لحساب google (الملحق 3)

وايت سناك 26 ديسمبر 2023 - تم تنفيذ ميزة استعادة الرمز المميز لحساب google (الملحق 2)

27 ديسمبر 2023 - مشاركات هدسون روك فيديو من Darkweb حيث يظهر المخترق استغلال ملفات تعريف الارتباط التي تم إنشاؤها

‍

التحليل والإسناد

معلومات من البريد

في 20 تشرين الأول/أكتوبر 2023، كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشفوا أن ممثلًا في مجال التهديد يُدعى «PRISMA» أصدر إعلانًا مهمًا على قناته على Telegram، حيث كشف النقاب عن حل قوي لمدة 10 أيام لمواجهة التحديات مع الجلسات القادمة لحسابات Google. يتميز هذا الحل بميزتين رئيسيتين:

ثبات الجلسة: تظل الجلسة صالحة حتى عند تغيير كلمة مرور الحساب، مما يوفر ميزة فريدة في تجاوز إجراءات الأمان النموذجية.
‍إنشاء ملفات تعريف الارتباط: تعمل القدرة على إنشاء ملفات تعريف ارتباط صالحة في حالة انقطاع الجلسة على تعزيز قدرة المهاجم على الحفاظ على الوصول غير المصرح به.

أعرب المطور عن انفتاحه على التعاون، مما يشير إلى استعداد محتمل للتعاون أو تبادل الأفكار حول هذا الاستغلال الجديد.

‍

*الشكل 1: منشور TA حول اكتشافه في قناة برقية في 20 أكتوبر 2023*

تم تنفيذ Lumma Infostealer، الذي يتضمن الاستغلال المكتشف، في 14 نوفمبر. وفي وقت لاحق، اعتمد رادامانثيس وريسبرو وميدوزا وستيالك ستيلر هذه التقنية. في 26 ديسمبر، قامت White Snake أيضًا بتنفيذ الاستغلال. حاليًا، تعمل Eternity Stealer بنشاط على التحديث، مما يشير إلى اتجاه مقلق للتكامل السريع بين مجموعات Infostealer المختلفة.

في لقطة الشاشة أدناه، يمكنك رؤية رمز الاستعادة المشفر الجديد الموجود في الإصدار الأحدث من Lumma (بتاريخ 26 نوفمبر) بينما يسلط الجانب الآخر من لقطة الشاشة الضوء على الإصدار الأقدم حيث يتم تجميع ملفات تعريف الارتباط من المتصفحات لإنشاء Account_Chrome_Default.txt

الشكل 2: الفرق بين سجلات Lumma للبرامج الضارة، أحدهما مؤرخ في 26 نوفمبر يحتوي على ملف تعريف ارتباط مشفر وسجلات من 12 فقط ملفات تعريف الارتباط المستخرجة من المتصفحات.

‍

التحليل الفني

التحجيم من الصفر - كيف تقوم البرامج الضارة بتسلل الأسرار المطلوبة

تسريب الرموز ومعرفات الحسابات: من خلال عكس متغير البرامج الضارة، فهمنا أنها تستهدف جدول token_service الخاص بـ Chrome الخاص بـ WebData لاستخراج الرموز ومعرفات الحسابات لملفات تعريف Chrome التي تم تسجيل الدخول إليها. يحتوي هذا الجدول على عمودين مهمين: الخدمة (معرف GAIA) و encrypted_token. يتم فك تشفير الرموز المشفرة باستخدام مفتاح تشفير مخزن في الحالة المحلية لمتصفح Chrome داخل دليل UserData، على غرار التشفير المستخدم لتخزين كلمات المرور.

‍

‍

*الشكل 4 وصف ميزة السارق في تصفية التفاصيل المطلوبة من جهاز الضحية*

‍

تحليل أصل نقطة النهاية واستخدامها

نقطة نهاية MultiLogin، كما تم الكشف عنها من خلال شفرة مصدر Chromium، هي آلية داخلية مصممة لمزامنة حسابات Google عبر الخدمات. إنه يسهل تجربة المستخدم المتسقة من خلال ضمان توافق حالات حساب المتصفح مع ملفات تعريف الارتباط الخاصة بالمصادقة من Google.

‍

حاولنا العثور على إشارات نقطة النهاية باستخدام Google Dork، لكننا فشلنا في العثور على أي منها. في وقت لاحق، أدت محاولة العثور على نفس نقطة النهاية في GitHub إلى حدوث تطابقات دقيقة كشفت عن الكود المصدري للكروم كما هو موضح أدناه.

*الشكل 5 كود المصدر في شفرة مصدر الكروم من Google التي تكشف عن تنسيق المعلمة وتنسيق البيانات والغرض*

تعمل نقطة النهاية هذه من خلال قبول مجموعة من معرفات الحسابات ورموز تسجيل الدخول إلى المصادقة - وهي بيانات أساسية لإدارة الجلسات المتزامنة أو التبديل بين ملفات تعريف المستخدمين بسلاسة. تؤكد الرؤى من قاعدة بيانات Chromium أنه على الرغم من أن ميزة MultiLogin تلعب دورًا حيويًا في مصادقة المستخدم، إلا أنها تقدم أيضًا وسيلة قابلة للاستغلال في حالة إساءة التعامل معها، كما يتضح من التطورات الأخيرة في البرامج الضارة

‍

*الشكل 6: اختبارات الوحدة التي تكشف عن بيانات الطلب المتوقعة*

‍

لقد تحدثت مصادر تكنولوجيا المعلومات الخاصة بنا مع ممثل التهديد الذي اكتشف المشكلة، مما أدى إلى تسريع اكتشافنا لنقطة النهاية المسؤولة عن إعادة إنشاء ملفات تعريف الارتباط.

الهندسة العكسية لكود الاستغلال

الكشف عن نقطة النهاية: من خلال الهندسة العكسية للملف التنفيذي للاستغلال الذي قدمه المؤلف الأصلي، تم الكشف عن نقطة النهاية المحددة المتضمنة في الاستغلال. تعد نقطة النهاية متعددة تسجيل الدخول غير الموثقة جزءًا مهمًا من نظام OAuth من Google، حيث تقبل متجهات معرفات الحسابات ورموز تسجيل الدخول إلى المصادقة.

*الشكل 7 كود الاستغلال الهندسي العكسي الذي يُظهر نقطة النهاية المستغلة.*

التكتيكات المعقدة للجهات الفاعلة في مجال التهديد

في مجال التهديدات الإلكترونية، غالبًا ما تكون التكتيكات التي تستخدمها الجهات الفاعلة في مجال التهديد معقدة بقدر ما هي سرية. توفر حالة استغلال Lumma لنقطة نهاية Google OAuth2 MultiLogin غير الموثقة مثالًا كتابيًا على هذا التطور.

يتوقف نهج Lumma على التلاعب الدقيق في زوج Token:Gaia ID، وهو مكون مهم في عملية مصادقة Google. يتيح هذا الزوج، عند استخدامه جنبًا إلى جنب مع نقطة نهاية MultiLogin، تجديد ملفات تعريف الارتباط الخاصة بخدمة Google. يكمن ابتكار Lumma الاستراتيجي في تشفير هذا الرمز المميز: زوج معرف Gaia مع المفاتيح الخاصة بها. من خلال القيام بذلك، قاموا بشكل فعال بـ «الصندوق الأسود» لعملية الاستغلال، وإخفاء الآليات الأساسية للاستغلال في السرية. يخدم هذا الصندوق الأسود غرضين:

حماية تقنية الاستغلال: من خلال تطبيق التشفير على الرمز المحوري: زوج معرف Gaia، تخفي Lumma بشكل فعال الآلية الأساسية لاستغلالها. تعمل طبقة التشفير هذه كحاجز، مما يعيق الكيانات الضارة الأخرى من تكرار أسلوبها. لا تحافظ هذه الخطوة الإستراتيجية على تفرد استغلالهم في المشهد التنافسي للجرائم الإلكترونية فحسب، بل توفر لهم أيضًا ميزة في السوق غير المشروعة. ومع ذلك، فإن تعديل Lumma اللاحق، والذي أدخل استخدام بروكسيات SOCKS للتحايل على قيود Google المستندة إلى بروتوكول الإنترنت على تجديد ملفات تعريف الارتباط، كشف عن غير قصد بعض تفاصيل الطلبات والاستجابات، مما قد يعرض غموض الاستغلال للخطر.

التهرب من الاكتشاف: من غير المرجح أن يؤدي الاتصال المشفر بين البرنامج الضار c2 ونقطة نهاية MultiLogin إلى إطلاق الإنذارات في أنظمة أمان الشبكة. تعد بروتوكولات الأمان القياسية أكثر عرضة للتغاضي عن حركة المرور المشفرة، حيث يتم الخلط بينها وبين تبادل البيانات المشفرة بشكل شرعي.

*الشكل 8 التجديد الناجح لملفات تعريف الارتباط بعد إعادة تعيين كلمة المرور.*

‍التطور في تقنية الاستغلال

تُظهر تقنية الاستغلال هذه مستوى أعلى من التطور والفهم لآليات المصادقة الداخلية في Google. من خلال معالجة زوج Token:Gaia ID، يمكن لـ Lumma إنشاء ملفات تعريف الارتباط لخدمات Google باستمرار. الأمر الأكثر إثارة للقلق هو حقيقة أن هذا الاستغلال يظل فعالًا حتى بعد إعادة تعيين المستخدمين لكلمات المرور الخاصة بهم. يسمح هذا الثبات في الوصول باستغلال حسابات المستخدمين وبياناتهم لفترة طويلة وربما دون أن يلاحظها أحد.

‍

يُظهر القرار التكتيكي لتشفير المكون الرئيسي للاستغلال تحركًا متعمدًا نحو تهديدات إلكترونية أكثر تقدمًا وموجهة نحو التخفي. وهذا يعني تحولًا في مشهد تطوير البرامج الضارة، حيث ينصب التركيز بشكل متزايد على إخفاء منهجيات الاستغلال وحمايتها، وكذلك على فعالية عمليات الاستغلال نفسها.

تحليل هيومنت:

دور الذكاء البشري: لعبت HUMINT دورًا محوريًا في تسريع عملية البحث. قدمت المصادر معلومات جزئية حول الاستغلال، مما أدى إلى محاولات أولية غير ناجحة (400 استجابة) من نقطة النهاية. ومع ذلك، كشفت المزيد من رؤى HUMINT، جنبًا إلى جنب مع OSINT، عن مخطط الاستغلال.

‍

‍مصدر الاستغلال والأصل: تحليل سلسلة وكيل المستخدم الموجودة في الكود المصدري كما هو موضح في الشكل 7 (com.google.drive/6.0.230903 ISL/3.4 iPhone/15.7.4 HW/iPhone9_4 (gzip)) يشير إلى أن اختبار الاختراق على خدمات Google Drive على أجهزة Apple كان مصدرًا محتملاً للاستغلال. أدى الاختبار غير الكامل للاستغلال إلى الكشف عن مصدره.

‍

خطوات المعالجة المؤقتة

بينما ننتظر حلاً شاملاً من Google، يمكن للمستخدمين اتخاذ إجراءات فورية للحماية من هذا الاستغلال. إذا كنت تشك في احتمال تعرض حسابك للاختراق، أو كإجراء احترازي عام، فقم بتسجيل الخروج من جميع ملفات تعريف المتصفح لإبطال رموز الجلسة الحالية. بعد ذلك، أعد تعيين كلمة المرور الخاصة بك وقم بتسجيل الدخول مرة أخرى لإنشاء رموز جديدة. يعد هذا أمرًا بالغ الأهمية بشكل خاص للمستخدمين الذين ربما تم سحب الرموز المميزة ومعرفات GAIA الخاصة بهم. تؤدي إعادة تعيين كلمة المرور الخاصة بك بشكل فعال إلى تعطيل الوصول غير المصرح به عن طريق إبطال الرموز القديمة التي في تجار التجزئة تعتمد عليها، مما يوفر حاجزًا حاسمًا أمام استمرار استغلالها.

‍

أسئلة متكررة

ما طبيعة الاستغلال الذي يشمل حسابات Google؟

يتضمن الاستغلال برامج ضارة تستخدم نقطة نهاية Google OAuth غير الموثقة، «MultiLogin»، لإعادة إنشاء ملفات تعريف الارتباط الخاصة بخدمة Google منتهية الصلاحية، مما يسمح بالوصول المستمر إلى الحسابات المخترقة. تتجاوز هذه الطريقة الحاجة إلى كلمة مرور ولكنها لا تمثل ثغرة أمنية مباشرة في نظام OAuth نفسه.

هل تغيير كلمة المرور الخاصة بك يؤمن حسابك ضد هذا الاستغلال؟

قد لا يكون تغيير كلمة المرور وحده كافيًا. يسمح الاستغلال بتجديد ملفات تعريف الارتباط الخاصة بالمصادقة حتى بعد إعادة تعيين كلمة المرور، ولكن مرة واحدة فقط. لتأمين الحساب بالكامل، يجب على المستخدمين تسجيل الخروج من جميع الجلسات وإلغاء أي اتصالات مشبوهة.

هل يمكن للمستخدمين إلغاء الوصول إذا تم اختراق حسابهم؟

يمكن للمستخدمين إبطال الجلسات المسروقة عن طريق تسجيل الخروج من المتصفح المتأثر أو إلغاء الجلسات عن بُعد من خلال صفحة إدارة الأجهزة الخاصة بحسابهم.

هل هذا شكل جديد من الهجمات الإلكترونية؟

في حين أن الاستغلال المحدد لرمز معين وتسريبه أمر جديد نسبيًا، فإن مفهوم البرامج الضارة التي تسرق كلمات المرور وملفات تعريف الارتباط ليس تهديدًا إلكترونيًا جديدًا. لفتت الحوادث الأخيرة الانتباه إلى تطور وخفي الهجمات الإلكترونية الحديثة.

ما الذي يجب على المستخدمين فعله لحماية حساباتهم؟

يُنصح المستخدمون بالتحقق بانتظام من الجلسات غير المألوفة وتغيير كلمات المرور وتوخي اليقظة أثناء تنزيل برامج غير معروفة ومرفقات غير معروفة.

‍

الخاتمة

يؤكد هذا التحليل مدى تعقيد وخفي التهديدات الإلكترونية الحديثة. ويسلط الضوء على ضرورة المراقبة المستمرة لكل من نقاط الضعف التقنية ومصادر الذكاء البشري للبقاء في صدارة التهديدات السيبرانية الناشئة. يعد التعاون بين الذكاء التقني والبشري أمرًا بالغ الأهمية في الكشف عن الثغرات المعقدة وفهمها مثل تلك التي تم تحليلها في هذا التقرير.

‍