كشفت تقارير أمنية حديثة من Cisco Talos وTrend Micro أن مجموعتي Qilin وWarlock المرتبطتين ببرمجيات الفدية تستخدمان تقنية “إحضار تعريف ضعيف” (BYOVD) لتعطيل أدوات الكشف والاستجابة الطرفية (EDR) على الأجهزة المصابة.
في حالة Qilin، تم رصد استخدام ملف DLL خبيث باسم msimg32.dll عبر أسلوب التحميل الجانبي (DLL side-loading)، ليبدأ سلسلة إصابة متعددة المراحل تنتهي بتعطيل أكثر من 300 تعريف EDR من مختلف مزودي الأمن. هذا الملف قادر على إبطال أدوات المراقبة، إخفاء سجلات الأحداث، وتنفيذ الحمولة الخبيثة بالكامل في الذاكرة دون أن يتم رصده.
تعريفات ضعيفة مستخدمة في الهجمات
يعتمد الهجوم على تعريفين رئيسيين:
- rwdrv.sys: نسخة معدلة من “ThrottleStop.sys”، تمنح المهاجمين وصولًا إلى الذاكرة الفيزيائية للنظام وتعمل كطبقة وصول في وضع النواة.
- hlpdrv.sys: يُستخدم لإنهاء العمليات المرتبطة بأكثر من 300 تعريف أمني.
وقد سبق استخدام هذه التعريفات في هجمات مشابهة مرتبطة ببرمجيات الفدية مثل Akira وMakop، مما يعكس نمطًا متكررًا في استغلال التعريفات الضعيفة لتعطيل الدفاعات الأمنية.
نشاط مجموعة Qilin
وفقًا لإحصاءات من CYFIRMA وCynet، برزت مجموعة Qilin كأكثر مجموعات الفدية نشاطًا خلال الأشهر الأخيرة، حيث ارتبطت بـ 22 هجومًا من أصل 134 حادثة فدية في اليابان عام 2025، أي ما يعادل 16.4% من جميع الهجمات.
وتعتمد المجموعة بشكل أساسي على بيانات اعتماد مسروقة للوصول الأولي، ثم تركز على أنشطة ما بعد الاختراق لتوسيع السيطرة وتعظيم الأثر. وتشير البيانات إلى أن تنفيذ الفدية يتم عادة بعد حوالي ستة أيام من الاختراق الأولي، مما يبرز أهمية الكشف المبكر عن الأنشطة الخبيثة.
مجموعة Warlock وتكتيكاتها
أما مجموعة Warlock (المعروفة أيضًا باسم Water Manaul)، فقد استمرت في استغلال خوادم Microsoft SharePoint غير المحدثة، مع تطوير أدواتها لتعزيز الاستمرارية والحركة الجانبية وتجنب الدفاعات.
من أبرز أدواتها:
- TightVNC للتحكم المستمر.
- تعريف ضعيف NSecKrnl.sys لتعطيل منتجات الأمن على مستوى النواة، بعد أن كانت تستخدم سابقًا “googleApiUtil64.sys”.
- أدوات مثل PsExec للحركة الجانبية، وRDP Patcher لتسهيل جلسات RDP متعددة، وVelociraptor للتحكم والقيادة، إضافة إلى Cloudflare Tunnel وYuze لاختراق الشبكات الداخلية، وRclone لتهريب البيانات.
توصيات أمنية لمواجهة التهديد
يشدد الخبراء على ضرورة اعتماد سياسات صارمة لإدارة التعريفات، بحيث يُسمح فقط بالتعريفات الموقعة من ناشرين موثوقين، مع مراقبة أحداث تثبيت التعريفات وتطبيق جداول صارمة لتحديث البرمجيات الأمنية.
وقالت Trend Micro: “اعتماد المهاجمين على تعريفات ضعيفة لتعطيل أنظمة الحماية يتطلب دفاعًا متعدد الطبقات يركز على سلامة النواة، مما يستدعي الانتقال من الحماية الطرفية التقليدية إلى مراقبة فورية للأنشطة على مستوى النواة.”
