اكتشاف برمجية SprySOCKS الخبيثة على ويندوز بتقنيات تخفي

اكتشاف برمجية SprySOCKS الخبيثة في نظام ويندوز بعد أن كانت مقتصرة على لينكس، مما يهدد أمن البيانات بأساليب تخفي متطورة للغاية في عام 2026.

كشف خبراء الأمن الرقمي عن ظهور نسختين جديدتين من برمجية التجسس الشهيرة SprySOCKS، تستهدفان أنظمة ويندوز (Windows) بشكل مباشر. وبحسب تقرير تابعته تيكبامين، فإن هذه البرمجية التي كانت تُعرف سابقاً باستهدافها لنظام لينكس فقط، قد تطورت لتشمل أدوات تخفي تعتمد على برامج تشغيل النواة (Kernel Drivers) لضمان البقاء بعيداً عن أعين برامج الحماية.

ما هي برمجية SprySOCKS وكيف تهدد أجهزة ويندوز؟

تُصنف SprySOCKS كباب خلفي (Backdoor) متطور يمنح المهاجمين سيطرة كاملة على الجهاز المخترق. النسخ المكتشفة حديثاً أطلق عليها الباحثون أسماء رمزية مثل WIN_DRV وWIN_PLUS، وهي مصممة للعمل بمرونة عالية داخل بيئة ويندوز.

• دعم بروتوكولات الاتصال: TCP وUDP وWebSocket.
• أوامر التحكم: تدعم أكثر من 30 أمراً مختلفاً.
• العمليات المتاحة: جمع معلومات النظام، وإدارة الملفات، ومعالجة السجلات.
• التحكم في العمليات: القدرة على سرد وإنهاء العمليات الجارية في الخلفية.

تقنيات التخفي المتقدمة في نسخة WIN_DRV

تعتبر نسخة WIN_DRV هي الأخطر نظراً لاستخدامها تقنية تحويل حركة مرور البيانات (Traffic Diversion). تسمح هذه الميزة للمخترقين بإرسال الأوامر عبر منافذ عشوائية على جهاز الضحية، دون الكشف عن المنفذ الحقيقي الذي تستمع إليه البرمجية، مما يجعل اكتشاف النشاط المشبوه في الشبكة أمراً شبه مستحيل.

كيف تنجح البرمجية في الاختفاء داخل نظام ويندوز؟

وفقاً لما أوضحته مصادر أمنية لـ تيكبامين، تعتمد البرمجية على برامج تشغيل مشفرة يتم تحميلها في النواة لإخفاء وجودها. هذه الطريقة تمنع أنظمة التشغيل التقليدية وبرامج مكافحة الفيروسات من رؤية الملفات أو مفاتيح السجل (Registry Keys) المرتبطة بالبرمجية الخبيثة.

• استخدام تعريف RawWNPF: للقيام بعمليات تخفي متقدمة.
• برنامج DriverLoader: محمل مشفر يستخدم لتشغيل التعريفات الخبيثة.
• تحويل مسار البيانات: لإخفاء اتصالات التحكم والسيطرة (C&C).

من يقف وراء تطوير برمجية SprySOCKS؟

تشير التحليلات الفنية إلى أن هذه البرمجية مرتبطة بمجموعة تجسس سيبراني مدعومة من جهات صينية تُعرف باسم Earth Lusca. هذه المجموعة نشطة منذ عام 2021 على الأقل، وتستهدف غالباً المنظمات الحكومية والشركات الكبرى في دول مثل تايوان، والمجر، والولايات المتحدة، وتايلاند.

العلاقة مع برمجيات خبيثة أخرى

يرى الباحثون أن SprySOCKS مبنية في الأصل على تروجان للوصول عن بُعد يُسمى Trochilus. كما تشترك البرمجية في الكثير من الأكواد البرمجية مع برمجيات أخرى مثل RedLeaves، مما يعكس تطوراً مستمراً في أدوات التجسس التي تستخدمها هذه المجموعات المنظمة لتحقيق أهداف استراتيجية بعيدة المدى.

كيف يمكن للمؤسسات حماية بياناتها؟

يتطلب التصدي لمثل هذه التهديدات المتقدمة استراتيجية أمنية متعددة الطبقات، حيث لا يكفي الاعتماد على الحلول الأمنية التقليدية فقط. يجب على مسؤولي تكنولوجيا المعلومات مراقبة حركة الشبكة بدقة والبحث عن أي أنماط اتصال غير طبيعية قد تشير إلى وجود برمجيات تخفي.

• تحديث الأنظمة: ضرورة تثبيت آخر التحديثات الأمنية لويندوز.
• مراقبة النواة: استخدام أدوات قادرة على فحص برامج التشغيل المحملة.
• التدقيق في الشبكة: فحص الاتصالات الصادرة عبر منافذ غير مألوفة.

في الختام، يمثل وصول SprySOCKS إلى ويندوز تحولاً مقلقاً في مشهد الأمن الرقمي، حيث أصبحت أدوات التجسس أكثر قدرة على التسلل والتخفي داخل الأنظمة الأكثر انتشاراً في العالم.