يعتمد المهاجمون الرقميون بشكل متزايد على منصات شائعة ومعروفة مثل Dropbox وGoogle Drive وPastebin لاستضافة روابط غير مباشرة تُشير إلى خوادم التحكم والسيطرة (C2)، فيما يُعرف بـ “نقاط الإسقاط الرقمية” (Dead Drop Resolvers – DDRs). تُستخدم هذه الاستراتيجية لتفادي الاكتشاف والاندماج ضمن الأنشطة الشرعية داخل الشبكات المؤسسية، مما يصعّب مهمة فرق الأمن السيبراني في التمييز بين السلوك العادي والنشاط الخبيث.
تتميّز هذه الطريقة بمرونة عالية، حيث يمكن للمهاجمين تغيير مواقع خوادم التحكم بسرعة في حال تم تعطيل أحدها، دون الحاجة إلى إعادة توزيع البرمجية الخبيثة، مما يمنح بنيتهم التحتية قدرة دفاعية مضاعفة واستمرارية تشغيلية يصعب احتواؤها.
VADER: نهج وقائي يرصد “مواقع التوجيه الخفية”
وقد أعلن باحثون من معهد جورجيا التقني عن تطوير إطار عمل جديد تحت اسم VADER، اختصارًا لـ “تحليل الثغرات لنقاط الإسقاط النهائية”، بهدف تتبّع وإحباط عمليات استخدام DDRs داخل التطبيقات والخدمات الإلكترونية. استند النظام إلى تحليل 100,000 عينة برمجيات خبيثة جمعت من بيئات حقيقية، وتمكن من رصد 8,906 عينة مرتبطة بـ 110 عائلات برمجيات خبيثة تستخدم 273 نقطة إسقاط موزعة على سبع منصات إلكترونية.
لا يتوقف دور VADER على الرصد فحسب، بل يمتد إلى الكشف الوقائي، إذ أظهر النظام قدرة على اكتشاف 57.1% من النقاط الرقمية الإضافية عبر 11 تطبيق ويب، قبل أن تُستخدم فعليًا في هجمات نشطة، مما يمنح فرق الأمن القدرة على التحرك الاستباقي بدلًا من الاكتفاء بردود الفعل.
تطور تكتيكي في البنية التحتية للهجمات الخبيثة
يشير هذا التوجه إلى نقلة نوعية في طريقة بناء الهجمات الإلكترونية، حيث تستغل البنية التحتية للخدمات السحابية المفتوحة والمجانية في تمويه التعليمات والتحكم عن بعد دون إثارة إنذارات أمنية تقليدية. استخدام هذه “النقاط الوسطية” كوسيط غير مباشر بين البرمجية الخبيثة وخادم الأوامر والتحكم يعني أن إزالة الخادم لا يُنهي الهجوم بل يتطلب تفكيك سلسلة الربط بالكامل.
تُعدّ مبادرة VADER جزءًا من جهود بحثية أوسع لتطوير أدوات قائمة على تحليل السياق والبيانات المفتوحة واستخدام التعلم الآلي لفهم النماذج التشغيلية للهجمات، وكشف مسارات التهديد قبل تفعيلها بالكامل.
