برز برمجية ValleyRAT الخبيثة، المعروفة أيضاً باسم Winos أو Winos4.0، كأحد أخطر برامج الوصول الخلفي التي تستهدف المؤسسات حول العالم. وتمثل هذه العائلة المعيارية من البرمجيات الخبيثة تهديداً كبيراً لأنظمة التشغيل ويندوز، وخاصة الإصدارات الحديثة مثل ويندوز 11.
يشهد مشهد التهديدات الأمنية تحولاً كبيراً بعد التسريب العام لـ ValleyRAT وهيكلها التطويري، مما يجع هذه البرمجية الخبيثة متاحة لمجموعة أوسع من الجهات الفاعلة في مجال التهديدات. هذا التطور يثير قلقاً متزايداً لدى خبراء الأمن السيبراني.
ValleyRAT: تهديد متنقل يتجاوز الحماية
تتمثل خطورة ValleyRAT في قدرتها على العمل عبر مستويات متعددة من النظام. فهي تعد برمجية خبيثة شاملة للوصول عن بعد، قادرة على نشر العديد من الإضافات (Plugins) لاختراق أنظمة الضحايا.
غالباً ما تبدأ عملية الإصابة الأولية بإضافات من المرحلة الأولى، مثل الوحدة الخاصة بالاتصال عبر الإنترنت (Online Module) أو وحدة تسجيل الدخول (Login Module). تعمل هذه الإضافات كإشارات تصدر إلى خادم القيادة والتحكم (C2).
تقوم هذه المراحل الأولية باسترجاع وتحميل إضافات متخصصة أخرى. تسمح هذه القدرة للمهاجمين بتوسيع وجودهم داخل الشبكات المخترقة تدريجياً. وتكمن قوة ValleyRAT في قدرتها على التكيف.
يتحكم المهاجم في اختيار الأنظمة التي تستحق نشر المكونات الأكثر تقدماً. هذا يعني أن العديد من الأنظمة المصابة تتلقى وظائف أساسية فقط. تكشف هذه البنية عن فهم عميق لآليات نظام ويندوز الداخلية.
فهم عميق لآليات النظام
كشف محللو الأمن في Check Point أن مطوري هذه البرمجية الخبيثة يمتلكون معرفة عميقة بآليات وضع النواة (Kernel-mode) ووضع المستخدم (User-mode). هذا يشير إلى فريق تطوير منسق ومتقن، وليس مجرد مساهمين متفرقين.
يشير التناسق عبر مختلف الوحدات البرمجية إلى مجموعة صغيرة ومتخصصة تتمتع بقدرات متقدمة في الهندسة العكسية. هذا التعقيد في التطوير يعكس مستوى عالٍ من الفهم التقني.
آلية الجذور الخفية للنواة (Kernel Rootkit)
يعد مكون ValleyRAT المدمج لوحدة تعريف برمجية جذرية في وضع النواة (Kernel-mode rootkit driver) هو الأكثر إثارة للقلق. وتكون هذه الوحدة مضمنة ضمن إضافة التعريف (Driver Plugin).
يمكن لهذه البرمجية الجذرية الاحتفاظ بتوقيعات صالحة ومتوافقة مع أحدث تحديثات أنظمة ويندوز 11. وهذا يسمح لها بالتجاوز الفعال لميزات الحماية الحديثة. إن ValleyRAT تشكل ثغرة أمنية حقيقية.
وجد باحثو Check Point أن حوالي 85% من عينات ValleyRAT المكتشفة ظهرت في الأشهر الستة الماضية. ويرتبط ذلك مباشرة بالإصدار العام لمُنشئ البرمجية. هذا التوقيت لا يخلو من الدلالة.
تنفذ البرمجية الجذرية قدرات تثبيت تعريف خفية، إضافة إلى حقن الشيفرات البرمجية في وضع المستخدم عبر استدعاءات الإجراءات غير المتزامنة (Asynchronous Procedure Calls). هذه التقنيات معقدة وتتطلب مهارات عالية.
تقوم البرمجية الخبيثة بحذف تعريفات برامج مكافحة الفيروسات وأنظمة الكشف والاستجابة للنقاط الطرفية (EDR) بالقوة من الأنظمة. وتستهدف بشكل خاص حلول الأمن من شركات مثل Qihoo 360، Huorong Security، Tencent، و Kingsoft Corporation.
يخلق هذا الإزالة العدوانية لأدوات الأمن بيئة غير مؤمنة، حيث يمكن للمهاجم العمل بحرية تامة. وتفتح هذه الخطوة الباب أمام هجمات أخرى.
يشكل التوفر العام لمُنشئ البرمجية وهيكلها التطويري تحولاً جذرياً في مشهد التهديدات. تصبح عملية تحديد مصدر الهجوم أكثر تعقيداً، حيث يمكن لأي جهة فاعلة الآن تجميع وتعديل ونشر ValleyRAT بشكل مستقل.
يشير الانتقال من تهديد مرتبط بجهات محددة إلى إطار عمل برمجيات خبيثة متاح علناً إلى أن النشاط المستقبلي سيتسارع على الأرجح. وستقوم مجموعات تهديدات أكثر بتجربة الأدوات المسربة. على المؤسسات تطبيق أنظمة كشف قوية والحفاظ على إجراءات أمنية محدثة لمواجهة هذا التهديد المتطور.