كشف خبراء التهديدات السيبرانية عن إطار جديد يستهدف أنظمة لينكس، يعمل بشكل كامل داخل الذاكرة دون ترك أي ملفات ثابتة على القرص. هذا النشاط، الذي أطلق عليه اسم ShadowHS من قبل شركة Cyble، يمثل نقلة نوعية في أساليب ما بعد الاستغلال، حيث يتيح للمهاجمين السيطرة الخفية على الأنظمة المصابة مع تقليل فرص الكشف.
التركيز على التخفي والسيطرة طويلة الأمد
على عكس البرمجيات الخبيثة التقليدية التي تركز على الانتشار السريع أو تحقيق مكاسب مالية مباشرة، فإن إطار ShadowHS يعطي الأولوية للتخفي، سلامة المشغلين، والسيطرة التفاعلية طويلة الأمد على الأجهزة المخترقة. يقوم المحمل (Loader) بفك تشفير الحمولة وتنفيذها حصرياً في الذاكرة، مما يمنع ترك أي آثار رقمية يمكن أن تكشف عن الهجوم.
بيئة تفاعلية لما بعد الاستغلال
بمجرد تنشيط الحمولة، يوفر الإطار بيئة تفاعلية متقدمة لما بعد الاستغلال، قادرة على تحديد أدوات الحماية المثبتة، فحص الضوابط الأمنية، وتقييم الاختراقات السابقة قبل الانتقال إلى إجراءات أكثر خطورة. هذا النهج يعكس مستوى عالٍ من التخطيط والقدرة على التكيف مع بيئات مختلفة.
وحدات خاملة متعددة الوظائف
يدعم إطار ShadowHS وحدات خاملة يمكن تفعيلها عند الحاجة، وتشمل:
- الوصول إلى بيانات الاعتماد.
- التحرك الجانبي بين الأنظمة.
- تصعيد الامتيازات.
- التعدين الخفي للعملات الرقمية.
- فحص الذاكرة.
- استخراج البيانات الحساسة.
هذه القدرات تجعل منه أداة متكاملة للهجمات المتقدمة، وتؤكد أن المهاجمين يسعون إلى بناء بيئة سيطرة طويلة الأمد بدلاً من هجمات سريعة وعشوائية.
