أبرز باحثو الأمن السيبراني مؤخرًا ظهور أربعة برامج وصول عن بُعد (RATs) تعتمد على منصة التواصل Discord كقناة للاتصال بخوادم القيادة والتحكّم، وهي: UwUdisRAT، STD RAT، Minecraft RAT، وPropionanilide RAT. وأشارت شركة ReversingLabs إلى أن Minecraft RAT تديره مجموعة تهديد تطلق على نفسها اسم “STD Group”، وأن المجموعة تشغّل سلسلة من برامج RAT متقاربة جدًا قد تكون نفس قاعدة الشيفرة مع إعادة تسمية (rebranding). أما Propionanilide RAT فيتميّز باستخدامه لآلية تغليف/فك تشفير تُعرف باسم Proplock أو STD Crypter لتحميل وتشغيل وظائف RAT المرتبطة بديسكورد.
تفاصيل الاكتشاف والأساليب المستخدمة
تشترك العينات المكتشفة في الاعتماد على واجهات برمجة تطبيقات Discord أو قنواتها (مثل Webhooks أو استغلال توكنات بوتات/قنوات) لنقْل الأوامر وجلب الحمولات الإضافية، ما يتيح للمهاجمين إخفاء حركة الاتصالات ضمن تدفق شرعي لبيانات المنصة. وأفادت التحليلات أن بعض الحركة الخبيثة تُدار عبر قنوات ودردشات وهمية أو حسابات بوت مُبرمجة، بينما تستعمل عينات أخرى آليات تغليف (packers/crypters) مثل Proplock/STD Crypter لإخفاء الشيفرة الحقيقية عن محركات الكشف وتحميل مكونات Discord-C2 عند التنفيذ.
هذا النمط — استخدام منصات سحابية أو خدمات تواصل معروفة كقنوات C2 — جذاب للمهاجمين لأنه:
-
يسهّل تجاوز بعض ضوابط الشبكة (traffic looks legitimate)،
-
يستفيد من بنية تحتية مستضافة وموثوقة لتوجيه الأوامر،
-
يصعّب ربط الاتصالات بخوادم تابعة للمهاجمين مباشرةً.
كيف تعمل هذه الفئات التقنية وخلفية الاعتماد على منصات التواصل
برامج RAT التي تستغل خدمات مثل Discord عادةً ما تتضمن مكوّنات أساسية: محمل (loader) يكسر أو يفك تغليف الحزمة، وحدة اتصالات تتكلّم مع واجهة Discord (باستخدام توكن أو Webhook)، ومجموعات أو وحدات تنفيذ تنفّذ أوامر مثل سرقة بيانات، التقاط لقطات شاشة، تنزيل ملفات إضافية أو تنفيذ برمجيات أخرى. تُستخدم أدوات التغليف (crypters) لخفض احتمالات الاكتشاف من خلال تشفير الشيفرة أو تعديلها ديناميكيًا.
خلال السنوات الماضية، رُصدت منصات معروفة — بما في ذلك خدمات سحابية ومنصات مراسلة مشهورة — تُستخدم كقنوات C2 بسبب سهولة الوصول إليها وقابلية إخفاء الحركة الخبيثة ضمن حركة شرعية للمستخدمين. وتُعدّ Discord خيارًا مناسبًا للمهاجمين لعدة أسباب: توفر واجهات برمجة مرنة، بنية قنوات/بوتات تسهّل نقل الرسائل، وإمكانات استضافة وسائط وملفات، بالإضافة إلى كثرة الاستخدام مما يقلّل من وضوح الشذوذ الشبكي.
الفاعلون المحتملون، السمات المشتركة، وتحديات التتبع
تشير الأدلة التي جمعتها ReversingLabs إلى أن بعض هذه العينات متقاربة للغاية من ناحية البُنية والوظائف، ما يطرح احتمالين: إما وجود مجموعة واحدة تطوّر قاعدة شيفرة مشتركة وتعيد تسميتها، أو انتشار شيفرة مصدرية متداولة استخدمها فاعلون متعددون. ويُعرّض هذا الباحثين وصانعي الدفاع لتحدّي التمييز بين حملات مختلفة عند التحليل الجنائي.
وغالبًا ما تسعى مجموعات مثل “STD Group” إلى التمويه عبر توزيع البنية التحتية وبيع/إعادة توزيع أدواتها في أسواق خفية، مما يسهّل انتشارها وانتقالها بين مشغّلين مختلفين. كما يفاقم من صعوبة التعقب استخدام التغليف والتشفير المحلي وإخفاء الاتصالات داخل خدمات شرعية.
تبعات التهديد وتوصيات التخفيف
تعكس هذه الظاهرة تحولًا عمليًا في تكتيكات المهاجمين نحو استغلال منصات الطرف الثالث الموثوقة لتشغيل شبكات C2، ما يستدعي تعديل استراتيجيات الدفاع. من توصيات الأمن السيبراني العملية للتصدي لهذه التهديدات:
-
تعزيز مراقبة الشبكة لرصد أنماط استخدام Discord غير الاعتيادية (مثل اتصالات آلية من أجهزة نهاية غير متوقعة أو حجم ترافيك مريب إلى واجهات API الخاصة بالديسكورد).
-
تطبيق سياسات حظر/موافقة على التطبيقات (application allowlisting) لحظر تشغيل محمّلات غير مصرح بها أو ملفات تنفيذية مجهولة المصدر.
-
فحص الملفات المشبوهة واكتشاف التغليف (crypter/packer detection) على أجهزة نقاط النهاية قبل التنفيذ، واستخدام حلول EDR قابلة لتحليل السلوك وليس فقط التوقيعات.
-
حماية مفاتيح التوكن والبوتات وأسرار واجهة برمجة التطبيقات عبر دورات تدوير أسرار مشدّدة، ومنع تخزينها في أماكن مكشوفة.
-
فرض سياسات تقييد الاتصالات الصادرة بحيث تُسمح بالاتصال بمنصات خارجية معروفة فقط للحواسب التي تحتاج ذلك، ومراقبة الاتصالات المشفرة الصادرة لغير تلك الأجهزة.
-
مشاركة المعلومات الاستخباراتية بين مؤسسات الأمن ومنصات الحوسبة السحابية ومزودي خدمات الاتصالات لتتبع البنى التحتية الخبيثة وإزالتها.
-
توعية المستخدمين بشأن مخاطر تنزيل برامج من مصادر غير موثوقة وفتح مرفقات غير متوقعة، خصوصًا في بيئات العمل.
