كشف باحثو الأمن السيبراني عن إطار خبيث جديد مكتوب بلغة بايثون يحمل اسم DEEP#DOOR، يتميز بقدرات متقدمة على إنشاء وصول دائم وسرقة بيانات حساسة من الأجهزة المصابة. تبدأ سلسلة الهجوم بتنفيذ ملف batch باسم install_obf.bat، يقوم بتعطيل أدوات الحماية في ويندوز، ثم يستخرج حمولة بايثون مضمنة باسم svc.py ويثبتها عبر عدة آليات مثل مجلد Startup، مفاتيح السجل (Registry Run keys)، المهام المجدولة، وحتى اشتراكات WMI. غالباً ما يتم توزيع هذا الملف عبر رسائل التصيد الإلكتروني (Phishing).
قدرات المراقبة والتجسس
بمجرد تشغيل الحمولة، يتصل البرنامج الخبيث بخدمة نفق عامة تدعى bore.pub المبنية بلغة Rust، ما يتيح للمهاجم تنفيذ أوامر عن بُعد وإجراء مراقبة شاملة. تشمل القدرات:
- فتح قشرة عكسية (Reverse Shell)
- جمع معلومات النظام
- تسجيل ضغطات لوحة المفاتيح (Keylogging)
- مراقبة الحافظة (Clipboard)
- التقاط صور الشاشة والكاميرا
- تسجيل الصوت المحيط
- سرقة بيانات اعتماد المتصفحات (Chrome، Firefox، Windows Credential Manager)
- استخراج مفاتيح SSH
- سرقة بيانات اعتماد السحابة (AWS، Google Cloud، Azure)
استخدام خدمة نفق عامة يوفر للمهاجمين ميزة إخفاء البنية التحتية، إذ لا يحتاجون إلى إعداد خوادم خاصة بهم، كما يندمج المرور الخبيث مع حركة المرور العادية ويصعّب عملية الكشف.
تقنيات التهرب من التحليل
يحتوي DEEP#DOOR على مجموعة واسعة من تقنيات مقاومة التحليل والتهرب من الدفاعات، منها:
- كشف بيئات التحليل مثل الـ Sandbox والـ VM
- تعطيل AMSI وETW
- إلغاء ربط مكتبة NTDLL
- العبث بـ Microsoft Defender وتجاوز SmartScreen
- تعطيل تسجيل PowerShell
- مسح الأوامر من سطر الأوامر وتغيير الطوابع الزمنية
- تنظيف السجلات لتقليل الأثر الجنائي
كما يعتمد على آليات متعددة للاستمرارية، مع وجود آلية مراقبة (Watchdog) تعيد إنشاء أدوات الاستمرارية إذا تم حذفها، مما يجعل عملية المعالجة صعبة للغاية.
دلالات أمنية
يعمل DEEP#DOOR كـ Remote Access Trojan (RAT) متكامل، قادر على البقاء لفترات طويلة داخل بيئة مصابة، وتنفيذ عمليات تجسس وحركة جانبية (Lateral Movement) بعد الاختراق. الأهم أنه يبرز تطور المهاجمين نحو أطر خبيثة ملفّية (Fileless) تعتمد على لغات مفسرة مثل بايثون، وتستغل مكونات النظام الأصلية لتقليل الاعتماد على ملفات خارجية، ما يقلل فرص الكشف التقليدي.
