الاثنين 06 يوليو 2026 09:21:04 GMT+02:00

Netcrook

الرئيسيةالبيان
الأخبار
Techcrook
Geocrook
WikicrookالفريقAppاتصال
ArabicEnglishItaliano

البرمجيات الخبيثة والبوتنتات

دفعة Millenium RAT على Windows تشير إلى نموذج برمجيات خبيثة أنظف وأصعب تعقبًا

نشر: 29 يونيو 2026 02:05الفئة: البرمجيات الخبيثة والبوتنتاتالكاتب: SIGNALMONK

يربط تحليل Group-IB لنسخة Millenium RAT v4.* بين 62,289 إصابة على Windows في أكثر من 160 دولة وتواصل عبر بوتات Telegram، وهو مزيج يمكن أن يطمس الحركة الخبيثة داخل الاستخدام السحابي العادي.

الدرس المزعج في هذه الحالة لا يتعلق بالحجم فقط. فحصان طروادة للوصول البعيد على Windows يصل إلى عشرات الآلاف من الأجهزة الطرفية يصبح أكثر من مجرد حدث إصابة لعائلة واحدة - إنه تذكير بأن مشغلي البرمجيات الخبيثة يفضلون بشكل متزايد البنية التحتية قليلة الاحتكاك. وعندما يمكن توجيه حركة الأوامر عبر منصة مراسلة شائعة، يفقد المدافعون بعض الإشارات الواضحة التي كانت تفصل سابقًا بين الأنظمة المملوكة للمهاجمين وحركة الأعمال العادية.

حقائق سريعة

  • فحصت Group-IB الإصدار 4.* من Millenium RAT.
  • ترتبط الحملة ب 62,289 جهازًا نهائيًا مصابًا على Windows.
  • تمتد الإصابات عبر أكثر من 160 دولة.
  • وقعت 39,730 من الإصابات المبلغة في الربع الأول من 2026.
  • تُستخدم بوتات Telegram للتواصل مع مشغلي البرمجيات الخبيثة.

لماذا يغير Telegram مهمة المدافع

من منظور تقني، بوت Telegram ليس هو نفسه خادمًا مخصصًا للمهاجم. واجهة Bot API الخاصة بـ Telegram هي واجهة مؤمنة بالرموز وتعتمد على HTTPS، ما يعني أن حركة البوت يمكن أن تمر عبر خدمة مستخدمة على نطاق واسع وموثوق بها عمومًا من قبل أدوات الشبكة. هذا لا يجعل الحركة غير مرئية، لكنه يغير أسلوب المطاردة: قد يحتاج المدافعون إلى البحث عن سلوك غير معتاد للعمليات، وسلاسل تنفيذ غير طبيعية بين العملية الأم والابنة، واتصالات صادرة غير متوقعة إلى نقاط نهاية مرتبطة بالمراسلة بدلًا من الاعتماد فقط على النطاقات المدرجة في القوائم السوداء.

تكتسب أرقام الإصابات أهمية لأنها تشير إلى وصول انتهازي، لا إلى مسار اقتحام ضيق لمرة واحدة. فئة RAT التي تنتشر عبر مناطق عديدة يمكن أن تخلق أنماط اختراق صاخبة لكن سطحية، خصوصًا إذا كان التوزيع يعتمد على أساليب شائعة مثل التنزيلات الخبيثة أو الهندسة الاجتماعية. المعلومات المتاحة لا تثبت سلسلة الوصول الأولية لكل ضحية، كما أنها لا تثبت سرقة بيانات أو نشاطًا بعد الاختراق على الجميع. ما تظهره هو أن البرمجية الخبيثة تملك نضجًا تشغيليًا كافيًا لدعم نشر واسع.

في بيئات Windows، يعني ذلك أن الضوابط الأساسية لا تزال ذات الوزن الأكبر: حماية الأجهزة الطرفية، والتحكم في التطبيقات، وقيود تنفيذ المستخدم، والتنبيه على السلوك المشبوه عند بدء التشغيل. إذا لم يكن استخدام Telegram أمرًا طبيعيًا في الشبكة، فقد يكون رصد نشاط Bot API غير المتوقع نقطة كشف مفيدة. وإذا كان مسموحًا به، فقد يحتاج المدافعون إلى خط أساس أقوى للتمييز بين الأتمتة المشروعة وحركة المشغل الخفية.

حتى وقت كتابة هذا التقرير، تدعم المعلومات العامة تحليلًا للمخاطر، لا بيانًا نهائيًا عن كل جهاز متأثر. النقطة الأوسع أبسط من ذلك: عندما تستعير RAT بنية سحابية شرعية، تنتقل مشكلة الأمن من حظر البنية التحتية الواضحة إلى اكتشاف السلوك غير الطبيعي المغلف داخل خدمات تبدو عادية.

الخلاصة

تمثل قناة Telegram المبلغ عنها في Millenium RAT مثالًا جيدًا على الاتجاه الذي تسير نحوه حماية الأجهزة الطرفية. لا تحتاج البرمجية الخبيثة إلى أن تبدو غريبة لتكون فعالة، ولا تحتاج إلى مكدس شبكي مخصص وضخم لتكون خطيرة. وبالنسبة إلى المدافعين، فالدرس هو مراقبة السلوك المشبوه أولًا، ثم البنية التحتية المشبوهة ثانيًا.

WIKICROOK

  • حصان طروادة للوصول البعيد (RAT): برمجية خبيثة تتيح للمشغل التحكم في جهاز مصاب عن بُعد.
  • القيادة والسيطرة (C2): القناة التي تستخدمها البرمجية الخبيثة لتلقي التعليمات وإرسال البيانات مرة أخرى.
  • الجهاز النهائي: جهاز مستخدم أو خادم يمكن استهدافه أو إصابته أو مراقبته.
  • Bot API: واجهة تتيح للبرامج التفاعل مع منصة مراسلة عبر طلبات موثقة.
  • شجرة العمليات: سلسلة البرامج التي يشغلها النظام، وهي مفيدة لاكتشاف سلوك البرمجيات الخبيثة المشبوه.