بدأت مجموعات تجسس سيبراني مدعومة من الصين في استغلال ثغرة أمنية حرجة في خدمات تحديثات خادم ويندوز (WSUS) لتوزيع برمجية خبيثة متطورة تُعرف باسم “شادو باد” (ShadowPad). ترتبط هذه البرمجية الخبيثة بعدة جهات فاعلة ترعاها دول.
تتيح الثغرة الأمنية، المسجلة بالمعرف CVE-2025-59287، للمهاجمين تنفيذ تعليمات برمجية عن بعد، مما يمنحهم صلاحيات على مستوى النظام في الخوادم المتأثرة. وقد شهدت الأشهر الماضية تبنياً سريعاً لهذه الثغرة من قبل جهات التهديد السيبراني بعد إتاحة الكود الخاص بها للجمهور.
تزايد استخدام ثغرة WSUS لنشر برمجيات التجسس
تستهدف الهجمات بشكل أساسي خوادم ويندوز التي تكون خدمات تحديثات خادم ويندوز مفعلة عليها. يتم استغلال الثغرة CVE-2025-59287 كخطوة أولى للحصول على وصول للنظام.
بمجرد اختراق النظام، يقوم المهاجمون بنشر أداة مفتوحة المصدر تعتمد على PowerShell تسمى “باور كات” (PowerCat). توفر هذه الأداة إمكانية الوصول المباشر إلى سطر الأوامر في النظام المخترق، مما يسهل على المهاجمين تنفيذ الأوامر اللاحقة اللازمة لتثبيت البرمجيات الخبيثة.
مسار الهجوم والكشف المبكر
أفاد محللو الأمن في ASEC باكتشافهم للبرمجية الخبيثة بعد ملاحظة استخدام أوامر تنفيذ “PowerCat” في الهجمات. ووثق الباحثون كيفية قيام المهاجمين بتنزيل وتثبيت “شادو باد” باستخدام أدوات ويندوز شرعية مثل certutil و curl.
تساعد هذه التقنية في التهرب من الكشف، حيث أن هذه الأدوات تعد مكونات قياسية لأنظمة ويندوز. في السادس من نوفمبر، رصدت البنية التحتية لـ ASEC قيام المهاجمين بتنزيل ملفات متعددة مشفرة قبل فك تشفيرها وتنفيذ حمولة “شادو باد” الفعلية.
آليات التخفي والبقاء لبرمجية “شادو باد”
تعمل برمجية “شادو باد” عبر تقنية تخفي بارعة تعرف باسم “تحميل DLL جانبي” (DLL sideloading). فبدلاً من تشغيلها كملف تنفيذي مستقل، تستخدم البرمجية الخبيثة تطبيق ويندوز شرعي (ETDCtrlHelper.exe) يقوم بتحميل مكتبة DLL خبيثة (ETDApix.dll) تحمل نفس الاسم.
عند تشغيل البرنامج الشرعي، يقوم عن غير قصد بتحميل المكتبة المخترقة، التي تعمل كمحمل للبرمجية الخبيثة “شادو باد” والتي تعمل بالكامل في الذاكرة. يتم تخزين الوظائف الأساسية للبرمجية الخبيثة في ملف مؤقت يحتوي على بيانات تهيئة كاملة للبوابة الخلفية.
توطيد الوجود والتواصل مع خوادم القيادة والتحكم
تؤسس البرمجية الخبيثة تواجدها الدائم في النظام عبر إنشاء خدمات، وإدخالات في سجل النظام، ومهام مجدولة معرفة بالمعرف “Q-X64”. تتواصل البرمجية مع خوادم القيادة والتحكم على العنوان 163.61.102[.]245 باستخدام بروتوكولات HTTP و HTTPS، وتقوم بإخفاء حركة البيانات بحزم قياسية لمتصفح فايرفوكس.
يمكن للبرمجية الخبيثة حقن نفسها في عمليات نظام متعددة، بما في ذلك ويندوز ميل، ومشغل الوسائط، وخدمات svchost. يُنصح المنظمات التي تشغل خدمات تحديثات خادم ويندوز بتطبيق التحديثات الأمنية التي أصدرتها مايكروسوفت لمعالجة الثغرة CVE-2025-59287 فوراً.
كما يجب مراقبة سجلات الخادم بحثاً عن أنماط تنفيذ مشبوهة لأوامر PowerShell، certutil ،curl للكشف عن محاولات الاختراق المحتملة.