رصد فريق البحث والتحليل العالمي (GReAT) في كاسبرسكي هجومًا نشطًا على سلسلة التوريد يستهدف الموقع الرسمي لبرمجية DAEMON Tools، المستخدمة على نطاق واسع لمحاكاة الأقراص الافتراضية.
وتضمن ملف التثبيت المُخترق برمجيات ضارة مرفقة مع النسخة الشرعية للبرنامج، مما يسمح للمهاجمين بتنفيذ أوامر غير مصرح بها والتحكم عن بُعد في الأجهزة المصابة.
وفقًا للتحليل، قامت جهات خبيثة منذ 8 أبريل 2026 بتوزيع نسخة محرّفة من البرنامج عبر النطاق الرسمي للشركة، مستغلين شهادة رقمية شرعية للمطور لإخفاء البرمجيات الخبيثة. ويطال هذا الاختراق الإصدار رقم 12.5.0.2421 وما تلاه حتى الإصدار الحالي. وقد أبلغت كاسبرسكي شركة AVB Disc Soft، المطوّرة للبرمجية، عن هذا الاختراق لاتخاذ الإجراءات اللازمة.
استغلال صلاحيات النظام العالية
تعتمد برمجية محاكاة الأقراص على الوصول العميق إلى مكونات النظام، ما يجعل المستخدمين يمنحونها صلاحيات إدارية عالية أثناء التثبيت. واستُغلت هذه الصلاحيات لتمكين البرمجيات الضارة من التغلغل في نظام التشغيل بشكل يصعب اكتشافه، مما يعرض سلامة الأجهزة للخطر.
وقد عبّر المهاجمون عن نشاطهم عن طريق التلاعب بالملفات التنفيذية الأصلية للبرنامج لتفعيل نص برمجي خبيث عند بدء التثبيت، إلى جانب استخدام خدمة موثوقة في نظام ويندوز لضمان بقاء البرمجية الخبيثة داخل النظام.
انتشار عالمي وتأثير المؤسسات
كشفت بيانات القياس عن بعد لدى كاسبرسكي عن توزيع عالمي واسع للتحديثات المخترقة شمل أكثر من 100 دولة ومنطقة، مع تمركز غالبية الضحايا في روسيا، البرازيل، تركيا، إسبانيا، ألمانيا، فرنسا، إيطاليا، والصين.
ويُبيّن التحليل أن 10% من الأنظمة المتضررة تابعة لمؤسسات وشركات. ورغم أن DAEMON Tools تحظى باستخدام واسع بين المستخدمين الأفراد، فإن استخدامها في البيئات المؤسسية يفتح الباب أمام مخاطر تمتد إلى الشبكات الداخلية للشركات.
هجمات مستهدفة: عمليات يدوية لحمولات إضافية
رصد فريق GReAT تنفيذ المهاجمين عمليات نشر يدوية لحمولات إضافية على مجموعة صغيرة من الأجهزة – ما يقارب عشرة أجهزة – تابعة لمؤسسات تعمل في مجالات التجزئة، العلوم، القطاع الحكومي، والتصنيع.
وتضمنت هذه الحمولات أداة لحقن تعليمات برمجية خبيثة وبرمجيات RATs غير معروفة سابقاً. ويشير التوزع القطاعي الضيق والأخطاء اللغوية وتباينات الأوامر إلى أن عمليات الاختراق تُدار بشكل يدوي ومباشر ضد أهداف محددة.
على الرغم من رصد مؤشرات باللغة الصينية ضمن الغرسات الخبيثة، لم تُنسب الحملة بعد إلى أي جهة تهديد معروفة.
صرّح جورجي كوتشيرين، خبير البحث الأمني في GReAT لدى كاسبرسكي: “يتجاوز هذا النوع من الاختراقات آليات الحماية التقليدية، لأن المستخدمين يثقون بالبرمجيات الموقعة رقمياً والمحمّلة مباشرة من مزوّد رسمي. ونتيجة لهذا الأمر، لم يتم اكتشاف هجوم DAEMON Tools لمدة تقارب شهراً، مما يشير إلى أن الجهة المهاجمة تمتلك قدرات متقدمة ومستوى عالٍ من التعقيد في العمليات الهجومية.”
وأضاف: “من الضروري أن تقوم المؤسسات بعزل الأجهزة التي تم تثبيت DAEMON Tools عليها، وإجراء فحص أمني دقيق لمنع أي انتشار إضافي للأنشطة الخبيثة داخل الشبكات المؤسسية.”
توصيات الحماية
تواصل كاسبرسكي اكتشاف ومنع تشغيل حزم التثبيت المخترقة. ويشدد الباحثون على ضرورة قيام المؤسسات باتباع الإجراءات التالية:
مراجعة شبكات المؤسسات: التحقق من وجود DAEMON Tools Lite، وعزل الأجهزة الطرفية المتضررة، مع تتبع أي نشاط غير مصرح به أو تحركات جانبية في الشبكة.
إزالة البرمجية للمستخدمين الأفراد: إجراء فحص شامل للجهاز للتحقق من خلوه من أي برمجيات خبيثة.
تقييم سلاسل توريد البرمجيات: مراجعة سجل الأمان للمورّد والتحقق من امتثاله لمعايير الأمن المعتمدة قبل إدخال أي تطبيقات خارجية إلى بيئة العمل.
تطبيق سياسات شراء صارمة: إجراء تحقيقات أمنية دورية على البرمجيات، وضمان التزام الأدوات المستخدمة بسياسات الأمن ومتطلبات الإبلاغ عن الحوادث.
تقليل الصلاحيات الإدارية: اعتماد مبدأ الحد الأدنى من الامتيازات ونموذج الثقة الصفرية لتقليص نطاق التأثير في حال تعرض تطبيق موثوق للاختراق.
اعتماد مراقبة مستمرة للبنية التحتية: استخدام حلول الكشف والاستجابة الموسّعة (XDR) مثل Kaspersky Next للمراقبة اللحظية للشبكات واكتشاف أي نشاط غير طبيعي أو محاولات تنفيذ أوامر غير مصرح بها.
تحديث أدلة الاستجابة للحوادث: يجب أن تشمل خطط الاستجابة أساليب اختراق سلاسل التوريد، مع تحديد خطوات واضحة لاكتشاف التطبيقات المتضررة، والتعامل معها بطريقة مناسبة، وفصلها عن الأنظمة الداخلية.
https://tafaol.sa/120157/
