تواصل عائلة برمجيات SystemBC الخبيثة، التي ظهرت للمرة الأولى في عام 2019، توسعها كنظام شبكة روبوتية ضخمة يضم أكثر من 10,000 جهاز مخترق حول العالم. تعمل هذه البرمجية في المقام الأول كخادم وكيل SOCKS5 وباب خلفي، مما يسمح للمهاجمين بإخفاء زحفهم الخبيث والحفاظ على وصول طويل الأمد للشبكات المخترقة.
يُمكّن النظام الروبوتي مهاجمي التهديدات من توجيه اتصالات القيادة والتحكم عبر أجهزة الضحايا، مما يخفي موقعهم الحقيقي عن المدافعين ويجعل تحديد مصدر الهجمات أكثر صعوبة. هذه البنية “الخلفية” تخلق شبكة مرنة صمدت أمام اضطرابات كبيرة من قبل سلطات إنفاذ القانون، بما في ذلك عملية “Endgame” التي قادتها يوروبول في مايو 2024.
SystemBC Botnet: الآلية والانتشار العالمي
بدلاً من الاختفاء، تكيف نظام SystemBC الخبيث، وقد شملت التطورات الأخيرة تحولاً في تركيزه نحو اختراق مزودي الاستضافة بدلاً من الشبكات المنزلية. هذا التحول الاستراتيجي يؤدي إلى استمرار الإصابات لفترات أطول بكثير مقارنة بحملات البرمجيات الخبيثة التقليدية، حيث يظل الجهاز المخترق في المتوسط لمدة 38 يوماً، وتستمر بعض الإصابات لأكثر من 100 يوم.
يعمل هذا النظام الروبوتي كخطوة تمهيدية حاسمة لنشر برامج الفدية، حيث يقوم بإنشاء أنفاق لتمرير البيانات لغرض سرقة المعلومات والاستغلال الإضافي. لاحظ محللو Silent Push أن عودة النظام الظاهرية للنظام الروبوتي تنطوي على تتبع متطور لعناوين IP المصابة عالمياً.
الانتشار الجغرافي والقطاعات المستهدفة
كشفت الأبحاث أن الولايات المتحدة هي الهدف الأساسي، حيث تضم أكثر من 4,300 جهاز مخترق، تليها تركيزات كبيرة في ألمانيا وفرنسا وسنغافورة. كما كشفت التحقيقات عن خروقات مقلقة داخل بيئات حكومية حساسة، بما في ذلك خوادم عالية الكثافة تستضيف مواقع رسمية في فيتنام وبوركينا فاسو.
غالباً ما تُستغل هذه الأصول المخترقة لإطلاق هجمات إضافية أو لدعم عمليات إجرامية أخرى. ومن جهة أخرى، أظهرت الأبحاث أن SystemBC Botnet لا يزال يشكل تهديداً يتزايد.
تحليل متغير Perl غير المكتشف
من الجوانب الحاسمة لهذا الحملة اكتشاف متغير SystemBC غير موثق سابقاً مكتوب بلغة Perl، والذي صُمم خصيصاً لتجاوز الضوابط الأمنية التقليدية. الملفات التي تتواصل مع بنية القيادة والتحكم الخاصة بالنظام الروبوتي تضمنت هذا البرنامج النصي غير المعتاد، والذي سجل في البداية صفر اكتشافات عبر محركات مكافحة الفيروسات الرئيسية.
عادةً ما يتم نشر هذا المتغير بواسطة أدوات إسقاط الملفات الثنائية ELF، والمعروفة باسم “SafeObject” و “StringHash”، والتي تستخدم حزم UPX لإخفاء شفرتها الخبيثة عن أدوات التحليل الثابت. بمجرد فك التعبئة، تبحث أدوات الإسقاط هذه بقوة عن دليلات قابلة للكتابة على النظام المضيف قبل تنفيذ مئات الحمولة المضمنة.
كشف التحقيق في شفرة أدوات الإسقاط أنها “صاخبة” بشكل غير عادي ومليئة بالنصوص باللغة الروسية، مما يوفر دليلاً محتملاً حول أصل الجهة الفاعلة في التهديد. نظراً لأن بنية SystemBC غالباً ما تشير إلى المراحل المبكرة لسلسلة الاختراق، يوصى لفرق الأمن بإعطاء الأولوية للمراقبة الاستباقية لهذه المؤشرات لمنع تفاقم الأمر إلى برامج الفدية.
تابعونا على Google News، LinkedIn، و X للحصول على المزيد من التحديثات الفورية، وجعل CSN مصدراً مفضلاً لديكم في Google.