الثلاثاء 07 يوليو 2026 05:57:46 GMT+02:00

Netcrook

الرئيسيةالبيان
الأخبار
Techcrook
Geocrook
WikicrookالفريقAppاتصال
ArabicEnglishItaliano

الحرب السيبرانية وعمليات الدول

عندما يصبح أحد عمليات Windows الموثوقة سلاحًا

نشر: 15 مايو 2026 19:12الفئة: الحرب السيبرانية وعمليات الدولالموقع: آسيا / الصينالكاتب: AGONY

تُبرز حملة تجسس مرتبطة بالصين كيف يمكن للأدوات الشرعية، وDLL sideloading، وBackdoor مخصص أن تدمج النشاط الخبيث ضمن السلوك الطبيعي لـ Windows.

غالبًا ما تبدو أكثر حملات التجسس فعالية مملةً للوهلة الأولى. وهذه هي الخطورة. في هذه الحالة، تمحورت سلسلة الهجوم حول مكونات Windows عادية: ملف تنفيذي شرعي، وملف تهيئة مطابق، وDLL خبيثة تم تحميلها عبر sideloading. بالنسبة للمدافعين، تذكيرٌ بأن إساءة استخدام الثقة قد تكون أكثر فاعلية من البرمجيات الخبيثة الاستعراضية عندما يكون الهدف جمع المعلومات بهدوء لا إحداث اضطراب صاخب.

حقائق سريعة

  • استهدفت حملة نُسبت إلى Twill Typhoon مؤسساتٍ في المقام الأول ضمن منطقة آسيا والمحيط الهادئ واليابان.
  • استخدمت سلسلة الاختراق أدوات Windows الشرعية إلى جانب DLL sideloading.
  • وُصف الحمولة بأنها نسخة backdoor من FDMTP مع اتصالات مخصصة.
  • صُنِّفت هذه الأنشطة على أنها تجسس سيبراني لا برمجيات فدية مُعطِّلة.
  • لا يزال النطاق الكامل للضحايا، ومسار الوصول الأولي، والأثر اللاحق غير مؤكدة.

كيف تعمل الحيلة

يُعد DLL sideloading ضعفًا في تنفيذ Windows، وليس استغلالًا سحريًا. إذا قام تطبيق بتحميل مكتبة من دون مسار كامل التأهيل، فإن Windows يبحث عن DLL بترتيب يمكن التنبؤ به. وهذا يفتح بابًا: ضع مكتبة خبيثة في مكان ستعثر عليه فيه أولًا، وقد يحمّلها البرنامج الموثوق بينما يبدو طبيعيًا من الخارج.

وهذا مهم لأن كثيرًا من أدوات الحماية لا تزال تعتمد بدرجة كبيرة على أسماء العمليات وثقة الناشر. يمكن لملف تنفيذي موقّع أو مألوف أن يصبح تمويهًا لمنطق خبيث إذا كانت الحمولة الحقيقية موجودة داخل DLL مرافقة. ومن منظور دفاعي، فإن سياق التنفيذ هو الدليل: عمليات تحميل الصور، وموضع الملفات، والسلوك الشبكي يمكن أن تكشف إساءة الاستخدام التي ستفلت من allowlist بسيط.

وُصفت الـ backdoor في هذه الحملة بأنها حِقن .NET شديدة الإخفاء مع اتصالات TCP وDMTP مخصصة. يشير تحليل Netcrook: هذا المزيج إلى تصميم معياري بُني للمرونة، حيث يمكن للمشغلين تغيير المهام أو وسيلة النقل من دون استبدال الحمولة بأكملها. في عمليات التجسس، يكون ذلك مفيدًا لأن الأدوات يمكن أن تتطور بينما يظل نمط الإصابة ثابتًا.

والإسناد مهم، لكنه يجب أن يُقرأ بحذر. يُعامل Twill Typhoon في عدة منظومات أمنية على أنه جزء من كتلة تجسس مرتبطة بالصين تمتد لسنوات، إلا أن الإسناد في مثل هذه الحالات يبقى حكم محلل لا دليلًا قضائيًا. والدرس العملي لا يعتمد على التسمية: يمكن إعادة توظيف سلوك Windows الموثوق إلى مسار تسليم خفي.

بالنسبة للمدافعين، فإن أفضل مؤشرات الصيد ليست التجزئات وأسماء الملفات وحدها. ابحثوا عن ثلاثيات executable+config+DLL، والتنزيلات المتكررة للمكونات المطابقة، وعمليات تحميل الوحدات المشبوهة داخل العمليات الموثوقة، وحركة المرور الصادرة غير المعتادة من ملفات تنفيذية لا يفترض بها الاتصال بالشبكة أصلًا. وحيثما أمكن، طبّقوا أنماط تحميل DLL أكثر أمانًا، واستخدموا التحكم بالتطبيقات لتقليل إساءة استخدام الأدوات الموثوقة كوسيلة تنفيذ.

حتى وقت كتابة هذا التقرير، لم تُحدِّد المعلومات العامة بالكامل السبب التقني الجذري، أو النطاق الكامل للمستخدمين المتأثرين، أو ما إذا كانت الأنظمة اللاحقة قد تعرضت للاختراق. وتدعم المعلومات المتاحة تحليل مخاطر، لا ادعاءً قاطعًا بحدوث اختراق كامل.

الخلاصة

تُعد هذه الحالة تحذيرًا مفيدًا لأنها تُظهر كيف لا يحتاج مشغلو التجسس دائمًا إلى استغلالات جديدة عندما تكون افتراضات الثقة القديمة كافية. إذا سُمِح لـ Windows بتحميل المكتبة الخاطئة، فقد تصبح العملية الشرعية الجزء الأكثر هدوءًا في الهجوم. والدرس الأوسع بسيط: في كشف الاختراقات الحديثة، السلوك أهم من المظهر.

WIKICROOK

  • DLL sideloading: أسلوب تقوم فيه تطبيقات موثوقة بتحميل مكتبة خبيثة لأن Windows يبحث عن ملفات DLL بترتيب يمكن التنبؤ به.
  • Living-off-the-land: إساءة استخدام الأدوات المدمجة أو الملفات التنفيذية الموثوقة لتقليل الاكتشاف والاندماج في الإدارة الطبيعية.
  • Backdoor: برمجية خبيثة توفر وصولًا بعيدًا دائمًا وتنفيذ الأوامر بعد العدوى الأولية.
  • Image load telemetry: تسجيل يوضح المكتبات التي حمّلها أحد العمليات، وهو مفيد لرصد سلوك DLL المشبوه.
  • Application control: سياسة دفاعية تقيّد البرامج والمكتبات التي يمكنها العمل على النظام.