رصد باحثون في الأمن السيبراني مؤخرًا استخدام مجموعة Qilin المتخصصة في هجمات الفدية لتقنية متقدمة تُعرف باسم “أحضر سائقك الضعيف” أو BYOVD (Bring Your Own Vulnerable Driver)، وذلك من خلال استغلال ملف تشغيل نادر يُعرف باسم TPwSav.sys لتعطيل برامج الحماية الأمنية المتقدمة على أجهزة الضحايا.
استغلال توقيع شرعي لاختراق طبقات الدفاع
وفقًا لتقرير صادر عن شركة Blackpoint Cyber، فإن ملف TPwSav.sys هو برنامج تشغيل (driver) من نوع Kernel Mode، صُمم في الأصل لتوفير ميزات توفير الطاقة على أجهزة لابتوب توشيبا. الملف يحمل توقيعًا رقميًا سليمًا ومعتمدًا من مايكروسوفت، مما يتيح له تجاوز أنظمة الحماية التي تعتمد على التعرف على البرمجيات غير الموقعة.
هذا ما يجعل الملف هدفًا مثاليًا لهجمات BYOVD، حيث يقوم المهاجمون بتحميل ملف تشغيل موقّع لكنه يحتوي على ثغرات أمنية، ومن ثم يستخدمونه كوسيلة لتعطيل برامج الدفاع المتقدمة (EDR) دون إثارة الشبهات.
دمج مخصص لأداة EDRSandblast لتعطيل الحماية
في هذا الهجوم، استُخدم إصدار مخصص من أداة EDRSandblast، وهي أداة معروفة يستخدمها القراصنة لتعطيل برامج اكتشاف التهديدات والاستجابة لها. وقد تم دمج هذه الأداة مع ملف التشغيل الضعيف لتعمل بتناغم في إيقاف أدوات المراقبة الأمنية مثل برامج مكافحة الفيروسات وأنظمة اكتشاف التسلل.
وتؤكد الشركة أن تحميل هذا السائق يتطلب صلاحيات إدارية (Administrator Privileges)، بينما يحتاج التفاعل معه فقط إلى صلاحيات منخفضة، وهو ما يمنح المهاجمين مرونة كبيرة في تنفيذ هجماتهم حتى في بيئات مؤمنة نسبيًا.
تهديد جديد باستخدام برنامج قديم
الملف TPwSav.sys تم تجميعه في عام 2015، ولم يتم رصد أي استخدام فعلي له في هجمات نشطة سابقًا، ما يجعل استغلاله من قبل Qilin سابقة خطيرة في سجل التهديدات السيبرانية. ويبرز هذا النوع من الهجمات التوجه المتزايد نحو إعادة استخدام مكونات قديمة ومهملة ولكن لا تزال تحمل صلاحيات شرعية، بهدف التخفي والاختراق العميق للبنى التحتية المعلوماتية.
ويُظهر هذا الهجوم مدى تطور تكتيكات مجموعات الفدية الحديثة، وقدرتها على تجاوز القيود التقنية عبر التحايل على البنية الأمنية الشرعية للأنظمة، مما يطرح تحديات كبيرة أمام المؤسسات في رصد ومنع هذا النوع من الاختراقات المعقدة.
