..مقدمة دروع تقنى..

هل وصلنا اليوم إلى مرحله الاختراق الشرعى .. يشهد عالم الأمن السيبراني تصعيداً غير مسبوق في مستوى التهديدات والهجمات الموجهة،

حيث لم يعد القراصنة يعتمدون على الأساليب التقليدية المكشوفة،مثل السابق بل تطورت التكنولوجيا وتطورت الأساليب أيضا ..

بل اتجهوا نحو بناء أنظمة تخفي معقدة تستغل البنية التحتية لشركات التكنولوجيا العملاقة..

في هذا السياق، كشف باحثون أمنيون مؤخراً عن حملات تجسس إلكترونية متطورة للغاية، أبرزها الحملة التي تحمل الاسم الرمزي “نسيج التنين” (Dragon Weave) وهجمات TencShell.

هذه الحملات، التي تُشير أصابع الاتهام فيها إلى جهات التهديد الموالية للصين، تستهدف قطاعات حساسة تشمل الحكومات، البحث العلمي،

الأوساط الأكاديمية، الخدمات المالية، وقطاع التكنولوجيا، مع تركيز خاص على جمهورية التشيك وتايوان، مما يهدد بنسف استقرار البنية التحتية الرقمية العالمية.

ما هي “عملية نسيج التنين” وكيف تبدأ الكارثة؟

بحسب التقارير الصادرة عن شركة الأمن السيبراني (Seqrite Labs)، لا تعتمد “عملية نسيج التنين” على ثغرات برمجية معقدة في بدايتها، بل تستخدم أسلوب الهندسة الاجتماعية الكلاسيكي المتمثل في رسائل التصيد الاحتيالي (Phishing Emails).

تصل للضحية رسالة بريد إلكتروني مُصممة بعناية فائقة لتبدو رسمية وشرعية، مرفق معها ملف مضغوط بصيغة (ZIP).

بمجرد أن يقوم المستخدم بفك ضغط هذا الأرشيف، يجد أمامه ملفات تبدو بريئة، ولكنها في الواقع تُمثل الخطوة الأولى في سلسلة عدوى منظمة.

يبدأ المسار الخبيث عندما يفتح الضحية ملف اختصار ويندوز (LNK) يتنكر بذكاء في هيئة مستند PDF. يؤدي هذا الإجراء البسيط إلى إطلاق برنامج نصي خفي من نوع PowerShell في الخلفية.

وظيفة هذا البرنامج النصي هي استخراج ملف تنفيذي يُدعى “RuntimeBroker_update.exe” من ملف وسيط وتشغيله. وفي مسار بديل، قد يقوم الضحية بتشغيل ملف تنفيذي بشكل مباشر ليعمل كبرنامج تحميل مبني على لغة البرمجة (Rust).

في كلتا الحالتين، يقوم الملف التنفيذي بتنفيذ خدعة برمجية تُعرف باسم التحميل الجانبي(DLL Side-loading)، حيث يتم تحميل مكتبة خبيثة باسم “UnityPlayer.dll“،

والتي تؤدي في النهاية إلى نشر أداة تحميل خفية تُسمى (RUSTCLOAK). وظيفة هذه الأداة هي فك تشفير الحمولة النهائية التي ستسيطر على الجهاز.

السر وراء التخفي: استغلال “مايكروسوفت Azure”

النقطة الأكثر إثارة للقلق في هذا الهجوم هي الحمولة النهائية، وهي عبارة عن عميل يُدعى (AdaptixC2) ويحمل الاسم الرمزي AZUREVEIL.

لقد أدرك المهاجمون أن برامج مكافحة الفيروسات تراقب الاتصالات الصادرة إلى خوادم غير معروفة (C2 Servers)، لذا قرروا الاختباء في وضح النهار.

تتصل برمجية AZUREVEIL مباشرةً بخدمة Microsoft Azure Blob Storage، وهي خدمة تخزين سحابية شرعية تستخدمها آلاف الشركات حول العالم. بدلاً من الاتصال المباشر بين المخترِق والضحية،

يتبع النظام أسلوب “التسليم الميت” (Dead Drop)؛ حيث يرسل الجهاز المخترق البيانات إلى حاوية التخزين في مايكروسوفت، ثم يقوم المهاجم بسحبها لاحقاً، والعكس صحيح بالنسبة للأوامر.

هذا الأسلوب العبقري يجعل حركة المرور الخبيثة تبدو وكأنها مزامنة بيانات طبيعية لخدمات مايكروسوفت، مما يُعمي بصر أنظمة المراقبة الأمنية.

وتدعم هذه البرمجية 36 أمراً مختلفاً، تمنح المهاجم قدرة مطلقة على تحميل الملفات، تنفيذ أوامر النظام، إعادة توجيه المنافذ، والسيطرة الكاملة على المضيف.

شرح دروع تقنى لمسار الاختراق كامل..

في سياق متصل بهذه الهجمات المعقدة، كشفت شركة (Cato Networks) عن محاولة اختراق أخرى باستخدام برمجية TencShell، والتي تعتمد على إطار عمل مفتوح المصدر تم التعديل عليه لضرب أهداف استراتيجية.

ولأننا في منصة “دروع تقني” نحرص دائماً على تقديم التحليل الفني الدقيق والموثق، نضع بين أيديكم تشريحاً تفصيلياً لمسار هذا الهجوم خطوة بخطوة وكيف يتجاوز أنظمة الحماية الجدارية:

الاختراق المبدئي (Initial Access):

تبدأ الهجمة عندما يقع الضحية في فخ الهندسة الاجتماعية، مثل الضغط على رابط خبيث أو فتح مرفق مفخخ يمنح المهاجم موطئ قدم أولي في النظام.

نزول المندوب البرمجي (payload.exe):

بمجرد وقوع الضحية في الفخ، يتم تحميل ملف تنفيذي مبدئي (payload.exe).هذا الملف ليس الفيروس المدمر بحد ذاته، بل هو مجرد “أداة توصيل” لفتح الباب الخلفي.

التحميل والاتصال بالخادم:

يقوم هذا الملف بالاتصال بالإنترنت عبر منفذ محدد (Port 1111) ويكلم خادم التحكم والسيطرة (C2 Server) الخاص بالمهاجمين الموجود على عنوان IP خارجي لتحميل الحمولة الأساسية.

التخفي في هيئة خطوط ويب:

لخداع برامج مكافحة الفيروسات، يتم تنزيل الفيروس الأساسي متخفياً في ملف بامتداد .woff (1.exe.woff). هذا الامتداد طبيعي لملفات “خطوط الويب” التي تعتمد عليها المتصفحات، مما لا يثير أي شكوك أمنية.

التشفير المعقد بواسطة أداة (DONUT):

لزيادة مستوى التخفي وصعوبة الفحص العكسي، يتم ضغط وتشفير هذا الملف الخبيث باستخدام أداة شهيرة تُعرف باسم DONUT، مما يحول الكود إلى شفرة معقدة يصعب على مضادات الفيروسات تحليلها.

الحقن المباشر في الذاكرة (PE Injection):

الفيروس لا يعمل كبرنامج مستقل لكي لا يظهر في واجهة “إدارة المهام” (Task Manager). بدلاً من ذلك، يقوم بحقن كوده البرمجي خلسة داخل عملية أو برنامج شرعي يعمل بالفعل في ذاكرة النظام (RAM).

تشغيل الوحش والسيطرة الكاملة: بعد استقراره في الذاكرة، يبدأ الفيروس الأساسي (TencShell.exe) بالعمل، ويؤسس اتصالاً نهائياً بخادم القراصنة،

ليمنحهم سيطرة كاملة للتحكم في الجهاز، سرقة البيانات، تنفيذ الأوامر عن بُعد، واستخدام الجهاز كوكيل (Proxy) لشن هجمات أخرى.

التصعيد العالمي للتهديدات السيبرانية..

لا تتوقف التهديدات عند هذا الحد؛ فقد نشرت شركة (ESET) تقريراً حديثاً يؤكد أن المجموعات الموالية للصين تعيش حالة من النشاط المفرط على مستوى العالم.

مجموعات مثل(SteppeDriver)وأيضا(NegativeGlimmer)

استخدمت أدوات مثل ShadowPad و COOLCLIENT لاستهداف كيانات في فرنسا، منغوليا، أمريكا الجنوبية، كوريا الجنوبية، وحتى بنما.

وتشير التحليلات إلى أن هذا النشاط المحموم يتماشى مع التوجهات الاستراتيجية للوصول إلى التقنيات المتقدمة في إطار خطط التنمية الصناعية العالمية.

كيف تحمي مؤسستك من هذه التهديدات المعقدة؟

في ظل هذا المستوى من التطور، لم تعد برامج مكافحة الفيروسات التقليدية كافية. يتطلب الأمر تبني استراتيجيات دفاعية حديثة تشمل:

عدم فتح بريد غير معروف أو مجهول لتجنب فتح ملفات تحتوى على برمجيات خبيثة ..

فتح البريد الالكتروني من مصدر موثوق معروف إذا كنت صاحب شركة أو عمل بالطبع أنت تعرف الفرق بين بريد الإعلانات وبين بريد التصيد الاحتيالى المزعج

مراقبة حركة المرور غير الطبيعية للشبكة، خاصة الاتصالات الموجهة إلى خدمات التخزين السحابي دون مبرر واضح.

تطبيق مبدأ “الثقة المعدومة” (Zero Trust) لمنع تشغيل الملفات التنفيذية غير المصرح بها.

تدريب الموظفين بشكل مستمر على اكتشاف رسائل البريد الإلكتروني الاحتيالية،

فهي نقطة الضعف الأولى والمدخل الرئيسي لكل هذه الهجمات..كما يفضل وجود خبير أمن سيبرانى فى شركتك..

شاركنا برأيك في التعليقات: هل تعتقد أن الاعتماد المتزايد على الخدمات السحابية مثل Azure أصبح سلاحاً ذا حدين يخدم المخترقين بقدر ما يخدم الشركات؟ تابع قسم “الأمن السيبراني” في دروع تقني لتكون أول من يعرف أدق تفاصيل الاختراقات

رؤية “دروع تقني” 2026: نحو بيئة شاملة لأمان البريد الإلكتروني والتطبيقات

لمواجهة هذه التهديدات المعقدة، نطرح في منصة “دروع تقني” رؤيتنا لمشروع حماية شامل يضع حداً لاختراقات التصيد والاحتيال،

وذلك عبر دمج البريد الإلكتروني ومنصات التواصل الاجتماعي داخل تطبيق حماية واحد يعمل كجدار ناري ذكي (Sandbox).

يعتمد نجاح هذا المشروع على عدة ركائز أساسية:

بيئة عمل معزولة وآمنة: يقوم المستخدم بتسجيل الدخول إلى بريده الإلكتروني ومنصاته الاجتماعية من داخل التطبيق الأمني نفسه،

مما يضمن عمل هذه المنصات داخل بيئة معزولة تماماً عن أي ملفات خبيثة قد تكون موجودة على الهاتف.

وكلاء حماية بالذكاء الاصطناعي:

يتم دمج وكلاء ذكاء اصطناعي (AI Agents) لفحص الرسائل، الروابط، والخوادم الخارجية في أجزاء من الثانية قبل عرضها على الشاشة، لاكتشاف التهديدات والثغرات الاستباقية كرسائل التصيد.

الرقابة والتدخل البشري المستمر:

التقنية وحدها لا تكفي؛ لذا يعتمد النظام على التدخل البشري الكامل من قبل خبراء الأمن السيبراني لإضافة الأكواد النظيفة، الفحص الدقيق، ومتابعة سير عمل النظام وسد الثغرات بشكل دائم.

اشتراك رمزي وفي متناول الجميع:

تقديم هذا الجدار الناري الشامل كخدمة مدفوعة باشتراك رمزي لضمان استمرارية التطوير والتحديثات.

السيناريو العملي للحماية:

عندما يبدأ المخترق في إرسال بريد تصيد احتيالي (كما في هجوم نسيج التنين)، سيقوم جدار الحماية المدمج مع وكلاء الذكاء الاصطناعي باعتراض البريد، فحصه وتحليله، ثم حظره أو تحذير المستخدم قبل فتحه.

هذا المشروع يمثل الحل الأمني الجذري الذي يحتاجه الجميع اليوم، حيث تتكامل سرعة الذكاء الاصطناعي مع دقة العقل البشري لتوفير درع تقني لا يمكن اختراقه.