ثغرة “دين دور” تستغل المثبتات لتجاوز الكشف.

كشفت تقارير أمنية حديثة عن ظهور برمجية خبيثة جديدة تُعرف باسم “DinDoor”، تستغل بيئة تشغيل JavaScript القانونية Deno وملفات MSI للتسلل إلى الأنظمة المستهدفة والتخفي عن أنظمة الكشف. تستخدم البرمجية الخبيثة تكتيكات مبتكرة لتجاوز الدفاعات التقليدية.

تم اكتشاف هذه البرمجية الخبيثة، التي تُصنف كمتغير من شبكة Botnet المعروفة باسم Tsundere، وهي تعتمد على بيئات تشغيل موثوقة وموقعة لتقليل فرص اكتشافها، بدلاً من استخدام برامج اختراق تقليدية مجمعة. وتجعل هذه الطريقة عملية اكتشافها أكثر صعوبة في الشبكات التي تسمح بالفعل باستخدام أدوات Deno أو لا تراقبها بشكل نشط.

DinDoor: التهديد الجديد وكيفية انتشاره

تصل برمجية DinDoor إلى الضحايا غالباً عبر رسائل بريد إلكتروني تصيدية أو عمليات تنزيل خبيثة متخفية في شكل ملفات MSI. بمجرد فتح الضحية للملف، تقوم المثبتات بتنزيل بيئة تشغيل Deno من نقطة النهاية الرسمية dl.deno[.]land دون الحاجة إلى صلاحيات المسؤول. بعد ذلك، تعمل البرمجية على تنفيذ نص JavaScript مشفر بصورة معقدة لتحديد هوية جهاز الضحية، والتواصل مع خوادم القيادة والتحكم (C2)، واستقبال حمولات إضافية.

أشار باحثون في Hunt.io إلى أنهم اكتشفوا هذه البرمجية الخبيثة أثناء تحليل عينتين تم تحميلهما إلى مستودعات عامة، مع وجود اختلافات سلوكية ملحوظة بينهما رغم تشاركهما نفس نموذج التنفيذ. وأظهرت الأبحاث أن استعلاماً واحداً لـ HuntSQL استهدف استجابات HTTP لـ DinDoor، وكشف عن 20 خادم C2 نشط في وقت إعداد التقرير، موزعة على 15 نظامًا مستقلًا مختلفًا.

في سياق متصل، ربط تقرير حديث من Broadcom بين نشاط DinDoor ومجموعة التهديد المستمر المتقدمة الإيرانية Seedworm، المعروفة أيضاً باسم MuddyWater. هذه المجموعة معروفة باستهدافها للمنظمات في الولايات المتحدة، مما يضيف بعداً إضافياً للقلق بشأن العمليات التي تنفذها DinDoor.

يُعد ارتباط البرمجية الخبيثة بمجموعة تهديدات أوسع أمرًا مثيرًا للقلق بشكل خاص. فقد تم توثيق نطاق C2 المستخدم في إحدى العينات، serialmenot[.]com، كبنية تحتية مشتركة ومتعددة المستأجرين تستخدمها جهات تشغيل برامج الفدية، ومجموعات مدعومة من دول، وجهات إجرامية سيبرانية. كما ربط بحث بواسطة JUMPSEC هذا النطاق بـ TAG-150، التي تستخدمه كواجهة خلفية لعائلة برمجيات خبيثة تسمى CastleLoader، والتي تشترك DinDoor معها في أوجه تشابه سلوكية.

يؤكد هذا التعاون أن جهات تهديدات متعددة تستفيد من نفس المنصة المشتركة باستخدام بيانات اعتماد منفصلة.

آلية عمل DinDoor وكيفية اكتشافها

إن فهم كيفية تحرك DinDoor داخل النظام يكشف عن مدى دقة تصميمها لتجنب الاكتشاف. عند تنفيذ العينة الأولى، migcredit.pdf.msi، تقوم أداة msiexec.exe بإنزال نص PowerShell وتنفيذه عبر cmd.exe مع أعلام تخفي النافذة، وتتجاوز تحميل الملفات الشخصية، وتعطيل فرض سياسات التنفيذ. يقوم النص بعد ذلك بالتحقق من وجود deno.exe وتثبيته إذا كان غير موجود، ثم يقوم بفك تشفير سلسلة base64 تحتوي على حمولة JavaScript ويستخدم Deno لتنفيذها.

تتبع العينة الثانية، Installer_v1.21.66.msi، مسارًا مختلفًا قليلاً. تم بناؤها باستخدام مجموعة أدوات WiX، وهي تحمل شهادة توقيع رمز مرتبطة بـ “Amy Cherne”، والتي ظهرت في أبحاث سابقة مرتبطة بـ MuddyWater. عند التشغيل، تعرض النافذة حوار خطأ مزيف لنظام Windows بعنوان “Installation Failed! Ex00000185” بينما تقوم أداة تشغيل VBScript بتشغيل حمولة PowerShell بصمت في الخلفية.

تقوم هذه النسخة بتمرير JavaScript الخاص بها مباشرة إلى deno.exe كوسيط (URI argument)، مما يسمح بتنفيذ الكود بالكامل في الذاكرة دون تسجيل أي شيء على القرص. بمجرد أن تتولى Deno المهمة، تقوم الحمولة بربط مستمع TCP على localhost كمُركّب (mutex) لمنع إعادة الإصابة. وتقوم ببناء بصمة فريدة من اسم المستخدم الخاص بالضحية، واسم المضيف، وإجمالي الذاكرة، وسلسلة إصدار نظام التشغيل، مما ينتج عنه معرف سداسي عشري مكون من 16 حرفًا يتم إلحاقه بكل طلب C2.

تتضمن عينة المثبت أيضًا رمز ويب موقّع (JWT) مُضمّن في عنوان URL الخاص بـ C2، مما يكشف عن بيانات تعريف الحملة بما في ذلك إعدادات النطاق والوكيل. كشفت استعلامات Hunt.io عن 20 خادمًا نشطًا عبر شبكات متعددة، وكان العديد منها مستضافًا لدى مقدمي خدمات معروفين بتسامحهم مع إساءة الاستخدام.

يجب على فرق الأمن التعامل مع أي تشغيل غير متوقع لـ deno.exe كعملية تابعة لـ powershell.exe أو wscript.exe كإنذار ذي أولوية عالية. يجب على المؤسسات تقييد تنفيذ ملفات MSI من خلال AppLocker أو Windows Defender Application Control للقضاء على ناقل التوزيع الأساسي لـ DinDoor. يمكن أن يساعد مراقبة أنماط سطر الأوامر مثل deno.exe -A data:application/javascript;base64، وعمليات ربط TCP على localhost عند المنافذ 10044 أو 10091، في اكتشاف الإصابات النشطة. يجب على المدافعين عن الشبكة مراجعة سجلات HTTP بحثًا عن رؤوس Via: 1.1 Caddy عند المنفذ 80، والنظر في حظر النطاقات المعروفة المرتبطة بها والاتصالات مع مقدمي الخدمات المشبوهين.