كشفت تقارير أمنية حديثة عن تطور خطير في أساليب مجرمي الإنترنت، حيث لجأوا إلى استخدام برمجية خبيثة تعرف باسم “Tuoni C2” مستهدفة شركة عقارية أمريكية كبرى. تكمن خطورة هذه البرمجية في قدرتها على العمل بحذر شديد والتخفي ضمن الشبكات لفترات طويلة، مستخدمة تقنيات متقدمة مثل الذكاء الاصطناعي لتجنب الاكتشاف.
يُعد هذا الهجوم مثالاً واضحاً على تحول كبير في استراتيجيات التسلل الرقمي. فبدلاً من شن هجمات سريعة لتدمير أو تشفير البيانات، يفضل المهاجمون حالياً العمل بصمت داخل الأنظمة، وسرقة المعلومات الحساسة، والانتظار لأشهر قبل تنفيذ ضربتهم النهائية. وقد رصدت مختبرات Morphisec Threat Labs هذا التكتيك الجديد في هجوم استهدف شركة عقارية أمريكية مرموقة.
لم يكن هذا الهجوم مجرد حملة تصيد إلكتروني تقليدية تستهدف أكبر عدد ممكن من الضحايا. بل كان عملية مدروسة بعناية فائقة، استغلت فيها برمجية “Tuoni C2” أساليب متطورة للتخفي وتجنب آليات الكشف الأمنية. وتشمل هذه الأساليب استخدام الذكاء الاصطناعي لتوليد شيفرات برمجية متغيرة، وإخفاء التعليمات البرمجية الضارة داخل صور غير ملفتة، وتنفيذ العمليات في الذاكرة فقط دون ترك أي أثر على القرص الصلب.
فهم آلية الهجوم ببرمجية Tuoni C2
أظهرت آلية الإصابة كيف تستخدم برمجية “Tuoni” الصور المخفية كوسيلة لإيصال حمولتها الخبيثة. تعتمد هذه التقنية، المعروفة باسم “Steganography”، على إخفاء البيانات الضارة داخل ملفات صور عادية، مثل ملفات BMP، مما يجعلها غير مرئية لأدوات الفحص التقليدية التي تبحث عن بصمات البرمجيات الخبيثة المعروفة.
عندما يفتح المستخدم ملف صورة يبدو آمناً، تقوم البرمجية باستخدام تقنية “التحميل الانعكاسي في الذاكرة” (reflective memory loading). هذه التقنية تتيح للبرمجية التواجد مباشرة في ذاكرة الحاسوب دون إنشاء أي ملفات على القرص الصلب. هذا يعني أنه لن تظهر أي ملفات جديدة في المجلدات، ولن تسجل أي بصمات يمكن للمسح الضوئي اكتشافها، ولن تُطلق أي تنبيهات سلوكية. أدوات الأمن التي تفحص الأقراص لن تجد أي شيء غير طبيعي.
تظل البرمجية تعمل بالكامل في الذاكرة المؤقتة، وتقوم بتنفيذ برنامج التحميل وإنشاء اتصال مع البنية التحتية لمعالجة الأوامر والتحكم (C2) الخاصة بـ “Tuoni” دون ترك أي أثر يمكن تتبعه. هذا التنفيذ في الذاكرة فقط يتغلب على برامج مكافحة الفيروسات، وأنظمة الكشف والاستجابة لنقاط النهاية (EDR)، وحتى تقنيات التحليل الآلي المتقدمة، لأن هذه الأدوات تعتمد بشكل أساسي على اكتشاف الملفات أو السلوكيات غير العادية على القرص الصلب.
بعد تثبيت نفسها بهذه الطريقة، تستغل برمجية “Tuoni C2” هذا الموقع الآمن والمخفي لسرقة بيانات تسجيل الدخول، والحفاظ على استمراريتها عبر جلسات متعددة، وتمهيد الأنظمة لهجمات برامج الفدية على نطاق واسع. وبدون أدوات كشف فعالة قادرة على رصد هذا النشاط التخفي، يظل الهجوم غير مكتشف، مما يمنح المهاجمين شهوراً لجمع البيانات الحساسة وتوسيع نطاق وصولهم داخل الشبكة.
التهديد المتنامي للبرمجيات الخبيثة المتطورة
تُظهر براعة هذا الهجوم كيف قام المهاومون الآن بتصميم برمجيات خبيثة خصيصاً لتجاوز جميع طبقات الدفاع الأمنية التقليدية. إن استخدام الذكاء الاصطناعي لتوليد شيفرات برمجية ديناميكية يزيد من صعوبة اكتشافها، حيث تتغير طبيعة الشيفرة باستمرار.
وقد اكتشف محللو Morphisec البرمجية من خلال المراقبة الدقيقة لتقنيات التهرب المتقدمة التي أصبحت شائعة بشكل متزايد في الهجمات المتطورة. هذه التقنيات، بما في ذلك استخدام “Steganography” المذكورة سابقاً، والتحميلات التي تعتمد على الذاكرة فقط، تشكل تحدياً مستمراً لخبراء الأمن السيبراني.
الهدف الأساسي لبرمجية “Tuoni C2” هو سرقة بيانات الاعتماد، وتوفير وصول طويل الأمد للشبكة، وتمهيد الطريق لهجمات برامج الفدية. وهذا يشير إلى أن الشركات، وخاصة تلك التي تتعامل مع معلومات حساسة مثل قطاع العقارات، بحاجة ماسة إلى تبني حلول أمنية استباقية تركز على منع التهديدات قبل وقوعها، بدلاً من الاعتماد فقط على أدوات الكشف.