استخدام الآلات الافتراضية المخفية يتحدى أنظمة الأمان ويتيح للمهاجمين البقاء غير مرئيين
يُظهر خبراء الأمن أن المهاجمين يتجهون بشكل متزايد لاستخدام أدوات التمثيل الافتراضي الموثوقة والبرمجيات المدمجة لإخفاء أنشطتهم الضارة، مما يصعب على أنظمة الأمان اكتشافها. تعتمد هذه الهجمات على برامج التمثيل الافتراضي التي تعتبرها أنظمة الحماية عادةً نشاطًا شرعيًا، مما يعطي المهاجمين فرصة لتجاوز الحواجز الأمنية.
مهاجمون يستخدمون QEMU لإخفاء العمليات الخبيثة
في أحدث الحوادث، استغل المهاجمون أداة QEMU المفتوحة المصدر، وهي برنامج محاكاة وتخزين افتراضي، لإنشاء بيئات مخفية تظل غير مرئية تقريبًا لآليات الدفاع على الأجهزة النهائية. حيث أنشأ المهاجمون أنظمة افتراضية مخفية تعمل في الخلفية، مع تقليل الأدلة التي يمكن أن تكشف عن نشاطهم على النظام المضيف.
تكرار الأسلوب وزيادة التهديدات
يشير خبراء شركة Sophos إلى أن هذه الطريقة ليست جديدة، إلا أنها عادت للانتشار بشكل أكبر، مع وجود حملتين نشطتين، يُطلق عليهما الرمزان STAC4713 وSTAC3725، تم التعرف عليهما منذ نهاية العام الماضي. في حملة STAC4713، أنشأ المهاجمون مهمة مجدولة باسم TPMProfiler لتشغيل آلة افتراضية خفية باستخدام صلاحيات النظام. استُخدمت صور قرص مخفية، كانت تظهر أولًا كملفات قاعدة بيانات، ثم تحولت لاحقًا إلى مكتبات روابط ديناميكية. بعد التشغيل، أنشأت الآلة الافتراضية أنفاق SSH عكسية، سمحت للمهاجمين بالوصول عن بعد بطريقة سرية، وتشغيل أدوات سرية، وجمع بيانات الاعتماد الخاصة بالنطاقات، دون أن يكتشفها أنظمة الأمان التقليدية.
استخدام أدوات موثوقة وأدلة على التسلل
استخدم المهاجمون أدوات مدمجة في نظام الويندوز، مثل Microsoft Paint وNotepad وEdge، للوصول إلى الملفات واستكشاف الشبكة، معتمدين على برمجيات موثوقة لدمج أنشطتهم الخبيثة ضمن سلوك النظام الطبيعي. في الحلقات القديمة من التسلل، كان الاعتماد على أنظمة VPN مكشوفة بدون مصادقة متعددة العوامل، بينما استُخدمت ثغرات مثل CVE-2025-26399 في SolarWinds Web Help Desk في هجمات لاحقة، مما يدل على تكييف المهاجمين لطُرُقهم اعتمادًا على الثغرات المتاحة.
روابط بالحملات وبرامج الفدية
يربط خبراء Sophos حملة STAC4713 ببرمجية الفدية PayoutsKing، التي تركز على تشفير البيئات الافتراضية. يبدو أن المجموعة التي تقف وراء تلك البرمجية تستهدف منصات الهايبرفيزور، وتقوم بنشر أدوات تعمل عبر أنظمة VMware وESXi. أما الحملة الثانية، STAC3725، فاستهدفت استغلال ثغرة Citrix Bleed2 للحصول على الوصول الأولي، ثم استخدمت آلة QEMU الافتراضية لتجميع أدوات التهديد اليدوية، بهدف سرقة بيانات الاعتماد واستكشاف الشبكة. بدلاً من الاعتماد على أدوات جاهزة، قام المهاجمون بتجميع أدواتهم داخل الآلة الافتراضية بعد الوصول، مما سمح لهم بتخصيص الهجمات وتقليل فرص الكشف عنها من قبل أنظمة الحماية القائمة على التوقيعات.
نصيحة للحد من المخاطر
تحذر Sophos من أن إخفاء الأنشطة داخل الآلات الافتراضية يمثل اتجاهًا متزايدًا في أساليب التهرب من أنظمة الأمان. لذلك، من الضروري تعزيز حماية النقاط النهائية، ومراقبة الشبكة بشكل مستمر، وتحديث الأنظمة بشكل دوري لتقليل الثغرات الأمنية والحد من احتمالات الاختراق.
تابع TechRadar على Google News وضمن المصادر المفضلة لديك للحصول على أحدث أخبارنا، مراجعاتنا، وتحليلاتنا الخبرية.