رافي لاكشمانان09 يوليو 2026البرامج الضارة / أمن نقطة النهاية

قام باحثو الأمن السيبراني بوضع علامة على عائلة جديدة من برامج الفدية تسمى ملعون التي تستخدم برنامج تشغيل PoisonX kernel لتحييد برامج الأمان كجزء من إستراتيجية التهرب الدفاعي.

وفقًا لتقرير جديد نشره فريق Threat Hunter من شركة Symantec، تم اكتشاف برنامج الفدية لأول مرة علنًا في 21 مايو 2026. ويُقدر أنه إعادة تسمية لبرنامج Beast Ransomware، والذي كان بدوره نسخة محسنة من Monster، وهو برنامج فدية قائم على دلفي ظهر في مارس 2022. ويتتبع ذراع الأمن السيبراني لشركة Broadcom المطور وراء عائلات برامج الفدية هذه تحت عنوان لقب هيادينا.

وفي إحدى الهجمات التي نظمتها عملية برنامج الفدية في أوائل يونيو 2026، قيل إن الجهات الفاعلة في التهديد قد استفادت من برنامج AnyDesk للوصول عن بعد واستخدمت مجموعة أدوات جمع بيانات الاعتماد المستندة إلى NirSoft قبل نشر برنامج الفدية. ناقل الوصول الأولي الدقيق غير معروف. تم تصميم أداة حصاد بيانات الاعتماد لاستخراج البيانات الحساسة من متصفحات الويب الشائعة، ومدير بيانات اعتماد Windows، وبيانات اعتماد المجال المخزن مؤقتًا، وجلسات VNC، وعملاء البريد الإلكتروني، وملفات تعريف Wi-Fi، وحركة مرور الشبكة المباشرة.

تم أيضًا استخدام أداة التهرب الدفاعي في وضع المستخدم في الهجوم والتي ترتدي زي منتج Symantec (“symantec.exe”) وبرنامج تشغيل PoisonX kernel (“g11.sys”) لتعطيل دفاعات نقطة النهاية فيما يسمى هجوم إحضار برنامج التشغيل الضعيف (BYOVD).

وقال فريق Symantec Threat Hunter في تقرير تمت مشاركته مع The Hacker News: “ومع ذلك، يبدو برنامج تشغيل PoisonX أكثر غرابة إلى حد ما، حيث يبدو أنه برنامج تشغيل خبيث نجح مطوروه في الحصول على توقيع من Microsoft، ويتم استخدامه الآن من قبل مهاجمي برامج الفدية”.

تجدر الإشارة إلى أن PoisonX هو أحد برامج التشغيل الثمانية التي اعتمدها مشغلو برنامج The Gentlemen Ransomware-as-a-service (RaaS) في أداة GentleKiller المخصصة الخاصة بهم والتي يتم توزيعها على الشركات التابعة لإضعاف دفاعات النظام قبل تنفيذ برنامج التشفير.

وأشارت شركة Broadcom الشهر الماضي إلى أن “السائقين الضعفاء هم الطريق الأكثر موثوقية للمهاجم”. “يمكن للمهاجم، بعد حصوله على امتيازات المسؤول، إسقاط برنامج تشغيل معيب ولكنه موقع بشكل صحيح على الجهاز المستهدف. ونظرًا لتوقيع برنامج التشغيل، يقوم Windows بتحميله تلقائيًا.”

“الإجراء الأكثر شيوعًا هو قتل العمليات التابعة لمنتجات مكافحة الفيروسات (AV) أو منتجات الكشف والاستجابة لنقطة النهاية (EDR)، مما يؤدي إلى تجريد الجهاز من دفاعاته. بعض المتغيرات أكثر دقة. قد يجرد المهاجمون وكيل الأمان من الحقوق التي يحتاجها ليعمل بشكل صحيح، مما يتركه قيد التشغيل ولكنه غير قادر على التصرف. ويعبث آخرون مباشرة بالسجلات الداخلية للنواة بحيث لا يتلقى منتج الأمان بعد الآن إشعارات حول ما يحدث على الجهاز، مما يجعله أعمى فعليًا.”

يتميز الهجوم أيضًا باستخدام PsExec لتسهيل الحركة الجانبية، يليه إعداد AnyDesk على كل من هؤلاء المضيفين الذين يمكن الوصول إليهم وتسجيله كخدمة Windows تلقائية التشغيل للبقاء على قيد الحياة بعد عمليات إعادة التشغيل. في بعض الأجهزة، تتم معالجة إعداد AnyDesk بالكامل بواسطة برنامج PowerShell النصي المُعد مسبقًا على محرك أقراص النظام، مما يقترح استخدام أداة تثبيت قابلة لإعادة الاستخدام لتبسيط العملية.

وقالت سيمانتيك: “بعد الانتهاء من إعداد AnyDesk على كل مضيف، أنهى المهاجمون عملية AnyDesk قيد التشغيل، وانتظروا لفترة وجيزة، ثم أعادوا تشغيل الجهاز”. “بحلول نهاية 2 يونيو، تم تكرار تسلسل النشر هذا عبر ما لا يقل عن 10 مضيفين داخل المنظمة المستهدفة.”

وقالت شركة الأمن السيبراني إنه تم اكتشاف برنامج GodDamn Ransomware لأول مرة في 3 يونيو على شريحة شبكة منفصلة مرتبطة بوحدة تنظيمية متميزة، مما تسبب في إعادة تسمية الملفات باسم الضحية كامتداد بدلاً من الامتداد “.God8Damn” المستخدم في الهجمات الأخرى التي نفذتها Hyadina.

وفقًا لتقرير صادر عن CYFIRMA، فإن مذكرة الفدية التي تم إسقاطها في نهاية عملية الاقتحام تحث الضحايا على الاتصال بهم إما عبر البريد الإلكتروني أو تطبيق المراسلة المشفر qTox.

وخلصت شركة الأمن السيبراني إلى أن “استخدام GodDamn لمكون برنامج التشغيل الخبيث PoisonX المكتشف حديثًا نسبيًا يمثل تصعيدًا في قدرة هذه المجموعة على التهرب الدفاعي، مما يشير إلى أن Hyadina تواصل تطوير برامج الفدية وقدراتها بنشاط”.

شاركها.
اترك تعليقاً