كشفت تقارير أمنية حديثة عن ظهور برمجية خبيثة جديدة تعرف بأنها حصان طروادة للوصول عن بعد، مبنية بلغة بايثون، وتستهدف أنظمة التشغيل ويندوز ولينكس. تستطيع هذه البرمجية تنفيذ عمليات مراقبة متقدمة وسرقة بيانات بشكل فعال، مما يشكل تهديداً كبيراً للأمن السيبراني.
تعمل البرمجية الخبيثة عبر إنشاء قناة اتصال غير مشفرة مع خادم القيادة والتحكم باستخدام بروتوكول HTTP، مما يسمح للمهاجمين بتنفيذ أوامر عن بعد، وسرقة الملفات، والتقاط لقطات للشاشة.
عند تشغيلها، تبدأ البرمجية فوراً بجمع معلومات تعريفية عن النظام المستهدف، بما في ذلك نوع نظام التشغيل، واسم الجهاز، واسم المستخدم الحالي. يتم إرسال هذه البيانات إلى خادم المهاجم، مما يمكّنه من تتبع الضحايا عبر جلسات منفصلة.
برمجية PyRAT الخبيثة: تهديد جديد للوصول عن بعد
تم اكتشاف هذه البرمجية الخبيثة من قبل باحثي K7 Security Labs خلال تحقيقات روتينية على منصة VirusTotal. وجد الباحثون ملفاً تنفيذياً (ELF binary) مكتوباً بالكامل بلغة بايثون.
تم تغليف البرمجية باستخدام PyInstaller الإصدار 2.1 مع Python 2.7، مما أدى إلى إخفاء الكود الخبيث داخل ما يبدو كملف تنفيذي شرعي، مما يزيد من صعوبة اكتشافها.
بعد استخراج الكود باستخدام أدوات متخصصة، كشف المحللون عن نقطة الدخول الرئيسية في ملف باسم agent-svc.pyc. كان هذا الملف يحتوي على الوظائف الكاملة للبرمجية، منظمة تحت فئة واحدة تسمى “Agent”.
آليات الثبات عبر أنظمة التشغيل
تعتمد البرمجية على آليات مختلفة لتحقيق الثبات (Persistence) في النظام، بناءً على نظام التشغيل المستهدف.
في أنظمة لينكس، تقوم البرمجية بإنشاء سجل تشغيل تلقائي مخادع في المسار ~/.config/autostart/dpkgn.desktop. تم اختيار اسم يوحي بأنه مرتبط بأدوات إدارة حزم دبيان الشرعية (Debian package tools) لخداع المستخدمين وتجنب الكشف.
هذا الملف يتم تشغيله تلقائياً عند تسجيل دخول المستخدم، مما يضمن بقاء البرمجية نشطة دون الحاجة لصلاحيات إدارية.
أما في أنظمة ويندوز، فتضيف البرمجية مدخلاً في سجل النظام (Registry) ضمن مفتاح Run للمستخدم الحالي، تحت اسم “lee”. هذا يضمن تشغيلها تلقائياً عند بدء تشغيل النظام، مع بقائها ضمن نطاق صلاحيات المستخدم.
البنية التحتية للقيادة والتحكم (C2)
تتواصل البرمجية مع خادم التحكم الخاص بها عبر طلبات HTTP POST بسيطة موجهة إلى نقاط نهاية محددة. يتم إرسال بيانات النظام بتنسيق JSON عادي، دون أي تشفير، مما يجعل حركة المرور عرضة للمراقبة والكشف.
تستخدم البرمجية معرفاً شبه دائم يتم إنشاؤه بدمج اسم مستخدم الضحية مع عنوان MAC الخاص به. هذا يسمح للمهاجمين بتتبع الإصابات الفردية حتى لو تغيرت بعض تفاصيل النظام.
تتكيف وتيرة الاتصال مع حالة النشاط، حيث تكون فترات الخمول أطول لتقليل الرؤية الشبكية، بينما في الجلسات النشطة، يتم الاستقصاء بسرعة كل نصف ثانية للحفاظ على الاستجابة للأوامر الواردة.
إدارة الملفات والتقاط الشاشة
تدعم البرمجية عمليات ملفات واسعة النطاق، بما في ذلك تحميل وتنزيل الملفات بشكل غير مقيد عبر ترميز multipart form-data.
يمكنها استعراض هياكل المجلدات بالكامل، وتغيير الدلائل العاملة، وإنشاء أرشيفات ZIP لعمليات استخراج البيانات المجمعة باستخدام خوارزمية ضغط DEFLATE.
تقوم وظيفة التقاط الشاشة بتسجيل الشاشة بأكملها عبر وحدة ImageGrab من مكتبة PIL، مع حفظ الصور كملفات JPEG مؤقتة يتم تحميلها تلقائياً إلى خادم المهاجم.
تعمل جميع العمليات في خيوط منفصلة (separate threads) لمنع تعطيل حلقة الاتصال الرئيسية، مما يضمن التوافر المستمر لتلقي أوامر جديدة أثناء تنفيذ المهام الحالية.