تُشكل البرمجيات الخبيثة تهديدًا متناميًا للأمن السيبراني، وفي تطور حديث، كشف باحثون عن برمجية خبيثة جديدة تُعرف باسم “ZnDoor” تستغل ثغرة أمنية حرجة في تطبيقات React/Next.js. استهدفت هذه الهجمات في البداية المؤسسات اليابانية، وتطورت لتطال البنية التحتية للشبكات.
تم رصد البرمجية الخبيثة ZnDoor، وهي حصان طروادة للوصول عن بعد، وهي تستغل ثغرة React2Shell (CVE-2025-55182) التي تتيح تنفيذ أوامر عن بعد. بدأت الهجمات الأولية بنشر برامج تعدين العملات المشفرة، لكن التحقيقات اللاحقة كشفت عن استخدام البرمجية الخبيثة لاختراق أجهزة الشبكة.
ZnDoor: تهديد متقدم يستهدف أجهزة الشبكات
يُعد ظهور ZnDoor تصعيدًا كبيرًا في وتيرة الهجمات السيبرانية، حيث تُظهر هذه البرمجية الخبيثة قدرات متقدمة تتجاوز بكثير عمليات استخراج العملات المشفرة البسيطة. تشير الأدلة إلى أن ZnDoor كانت نشطة منذ أواخر عام 2023، حيث قامت بتأسيس وجودها بشكل خفي في البيئات المستهدفة.
يعكس التصميم المعقد للبرمجية الخبيثة تطويرًا دقيقًا ونشرًا استراتيجيًا ضد أجهزة الشبكات، مما يجعلها مصدر قلق كبير لفرق أمن المؤسسات. لقد حدد محللو NTT Security، بعد تحليل جنائي مفصل للأنظمة المخترقة، آلية هجوم متكاملة تبدأ باستغلال ثغرة React2Shell وتمتد إلى توفير وصول خلفي مستمر من خلال نشر ZnDoor.
آلية الإصابة وعمليات القيادة والتحكم
تتبع آلية الإصابة مسارًا بسيطًا وفعالًا في آن واحد. يستغل المهاجمون ثغرة React2Shell لتنفيذ أمر shell يقوم بتنزيل وتشغيل ZnDoor من خوادم خارجية. يتم تنفيذ الأمر عبر /bin/sh، ويقوم على الفور بإنشاء اتصال بخادم القيادة والتحكم (C2) على المنفذ 443.
يتم تشفير تفاصيل التكوين، بما في ذلك عنوان IP الخاص بخادم C2 والمنفذ، باستخدام تشفير AES-CBC بعد فك تشفير Base64. هذا الإجراء يحمي البنية التحتية للاتصالات الخاصة بالبرمجية الخبيثة من الفحص السطحي.
تعمل ZnDoor كحصان طروادة للوصول عن بعد مكتمل الميزات، مع قدرات تحكم شاملة في النظام. تتواصل البرمجية الخبيثة باستمرار مع خادم C2 كل ثانية، وترسل معلومات النظام بما في ذلك عناوين الشبكة، واسم المضيف، واسم المستخدم، ومعرفات العمليات عبر طلبات HTTP POST.
يُمكّن هذا الاتصال المستمر المهاجمين من إرسال أوامر لإجراء عمليات الملفات، وتنفيذ shell، وتعداد النظام، وتنشيط وكيل SOCKS5. يعتمد هيكل الأوامر على محددات التجزئة المزدوجة لتحليل التعليمات، ويدعم عمليات مثل إنشاء shell تفاعلي، وإدراج الدلائل، والتلاعب بالملفات، وإنشاء أنفاق الشبكة.
استراتيجيات التخفي والتهرب
تُعد استراتيجيات التخفي والتهرب من الكشف جانبًا حاسمًا في تصميم ZnDoor. تُطبق البرمجية الخبيثة تقنية انتحال اسم العملية (process name spoofing) لتنتحل صفة عمليات نظام مشروعة، مما يجعل تحديدها صعبًا من خلال المراقبة التقليدية.
بالإضافة إلى ذلك، تقوم بتعديل الطوابع الزمنية للملفات لتاريخ 15 يناير 2016، في محاولة لتجنب التحقيقات الجنائية. تُنفذ البرمجية الخبيثة آليات إعادة التشغيل الذاتي باستخدام عمليات تابعة، مما يزيد من تعقيد جهود التحليل. تؤكد هذه التكتيكات المتطورة للتهرب على الطبيعة المتقدمة لهذا التهديد وتُبرز أهمية المراقبة السلوكية.