التهديد السيبراني: برمجيات خبيثة متطورة تستغل بلوكتشين الإيثيريوم للتخفي
تبرز تقنية جديدة تم اكتشافها مؤخراً، تُعرف باسم “EtherHiding“، كأداة متقدمة تستخدمها جهات خبيثة لإخفاء بنيتها التحتية للتحكم والسيطرة (C2) ضمن شبكة الإيثيريوم، مما يجعل اكتشافها وتعطيلها أمراً بالغ الصعوبة. تستغل هذه التقنية ثغرة في طبيعة البلوكتشين اللامركزية وغير القابلة للتغيير.
تعمل البرمجية الخبيثة، المسماة EtherRAT، كنظام خلفي متطور يسمح للمهاجمين بالتحكم الكامل عن بعد في الأجهزة المخترقة. ومن بين القدرات التي تمنحها للمهاجمين، القدرة على تنفيذ أوامر، وسرقة محافظ العملات المشفرة، وسحب بيانات الاعتماد السحابية، كل ذلك بأقل قدر ممكن من الضجيج الأمني.
وقد ربطت شركة Sysdig هذه البرمجية الخبيثة بمجموعة قرصنة كورية شمالية (APT) بناءً على تداخلات كبيرة مع حملة “Contagious Interview”، وهي نمط معروف فيه يقوم المهاجمون بانتحال صفة المجندين أو موظفي الدعم الفني لتوصيل برمجيات خبيثة.
تعتمد EtherRAT على تقنية EtherHiding لاسترداد عنوان خادم القيادة والتحكم. تخزن هذه التقنية العنوان مباشرة داخل عقد ذكي على شبكة الإيثيريوم. وهذا يمنح المهاجمين مرونة كبيرة إذ يمكنهم تغيير خوادم التحكم في أي وقت ببساطة عن طريق تحديث العقد الذكي بعنوان جديد.
من جهة أخرى، تتيح هذه الطريقة للمهاجمين إعادة توجيه الأجهزة المخترقة سابقاً إلى بنية تحتية جديدة للتحكم، مما يعزز سيطرتهم بتكلفة بسيطة من العملات المشفرة. وقد تم اكتشاف EtherRAT لأول مرة في مارس 2026 من قبل محللي eSentire أثناء عملهم مع عميل في قطاع التجزئة، مما يشير إلى نشاط مستمر للبرمجية.
كيف تعمل تقنية EtherHiding على تمكين اتصالات C2 مستمرة
تُعد تقنية EtherHiding الميزة الأكثر تميزاً لبرمجية EtherRAT، حيث تضمن استمرار اتصالات القيادة والتحكم حتى في حال محاولة المدافعين قطعها. عند تشغيل البرمجية الخبيثة، تقوم تلقائياً بالاستعلام من عدة مزودي خدمة RPC عامين لشبكة الإيثيريوم، وتختار النتيجة الأكثر استقراراً كعنوان لـ C2.
ويتيح ذلك للمشغلين دفع عناوين خوادم جديدة مباشرة إلى العقد الذكي عبر استدعاء `setString`، مما يعيد توجيه جميع الأجهزة المصابة إلى بنية تحتية جديدة على الفور دون الحاجة إلى إعادة نشر البرمجية الخبيثة نفسها. هذا التحديث السريع يمثل تحدياً كبيراً لفرق الأمن السيبراني.
وللتغلب على الكشف على مستوى الشبكة، تقوم EtherRAT بإخفاء حركة المرور الصادرة لتبدو وكأنها طلبات شبكة توصيل المحتوى (CDN) عادية. تبدو عناوين URL للمراسلة الخاصة بها مشابهة لطلبات الملفات الثابتة العادية، مع مسارات سداسية عشرية عشوائية، و UUIDs، وامتدادات ملفات مثل `.ico` أو `.png` أو `.css`.
بالإضافة إلى ذلك، تقوم البرمجية الخبيثة بإرسال شفرتها المصدرية نفسها إلى خادم C2، الذي يعيدها بنسخة مشوشة حديثاً. ومن ثم تقوم هذه النسخة بالكتابة فوق النسخة الأصلية، مما يجعلها تتحرك بخطوة واحدة أمام الدفاعات المعتمدة على التواقيع. ويدعم استمرارية البرمجية إدخال في مفتاح التسجيل Run الخاص بنظام ويندوز.
ويستخدم هذا الإدخال اسماً عشوائياً مكوناً من 12 حرفاً سداسياً عشرياً لتجنب الكشف المبني على الأنماط، وتعمل البرمجية الخبيثة بصمت من خلال `conhost.exe` في وضع “headless” (بدون واجهة مرئية). ينصح خبراء الأمن، مثل TRU، بتعطيل `mshta.exe` و `pcalua.exe` عبر AppLocker أو Windows Defender Application Control (WDAC)، وتقييد موجه الأوامر Run عبر سياسات المجموعة.
ومن جانب آخر، يجب أن يتلقى الموظفون تدريباً توعوياً يركز على عمليات الاحتيال المتعلقة بدعم تكنولوجيا المعلومات وسيناريوهات ClickFix. إن حظر وصول الشركات إلى مزودي خدمة RPC للعملات المشفرة يقطع الاتصال بـ C2 المعتمد على EtherHiding قبل إنشائه. ولا يزال نشر حلول الجيل التالي لمكافحة الفيروسات (NGAV) أو حلول الكشف والاستجابة لنقاط النهاية (EDR) أمراً أساسياً لاكتشاف الإصابات واحتوائها بسرعة.