برمجية إيثر رات الخبيثة تستهدف مديري الأنظمة عبر جيت هاب

اكتشف باحثون أمنيون برمجية إيثر رات الخبيثة التي تستهدف مديري الأنظمة وخبراء DevOps عبر منصة جيت هاب، مما يشكل تهديداً كبيراً لأمن الشركات والمؤسسات الكبرى في عام 2026.

ما هي برمجية إيثر رات الخبيثة وكيف تعمل؟

تعد برمجية إيثر رات الخبيثة (EtherRAT) جزءاً من حملة تجسس رقمية متطورة تم رصدها مؤخراً، حيث تركز على اختراق الحسابات ذات الصلاحيات العالية. وفقاً لما تابعه فريق تيكبامين، تعتمد هذه الهجمات على استراتيجيات معقدة تشمل تسميم محركات البحث واستغلال منصات البرمجة الموثوقة.

تبدأ العملية باستهداف كلمات بحثية تقنية دقيقة يستخدمها المتخصصون في تكنولوجيا المعلومات عبر محركات بحث شهيرة مثل بينج (Bing) وياهو (Yahoo) وداك داك غو (DuckDuckGo). يضمن المهاجمون ظهور نتائجهم الخبيثة في مقدمة صفحات البحث لجذب الضحايا.

كيف يتم توزيع EtherRAT عبر منصة جيت هاب؟

يستخدم المهاجمون ما يعرف باسم "واجهات جيت هاب" (GitHub Facades) لخداع المستخدمين، حيث يتم إنشاء مستودعات تبدو احترافية تماماً. تحتوي هذه المستودعات على ملفات توضيحية (README) مصممة بعناية لتبدو كأدوات إدارية رسمية، لكنها في الواقع لا تحتوي على أي كود برمجي.

بدلاً من ذلك، يتضمن ملف README رابطاً يوجه الضحية إلى مستودع ثانٍ مخفي يعمل كنقطة توزيع فعلية للبرمجيات الخبيثة. تتيح هذه الهيكلية الثنائية للمهاجمين تبديل حسابات التوزيع بسرعة في حال تم الإبلاغ عنها، بينما تظل الواجهة الأصلية المفهرسة في محركات البحث نشطة.

لماذا تستهدف هذه الهجمات مديري الأنظمة؟

تستهدف الحملة بشكل استراتيجي الأدوات التي يعتمد عليها خبراء الشبكات والأمن الرقمي في عملهم اليومي. يتم توزيع ملفات تثبيت من نوع MSI مفخخة تنتحل صفة أدوات شهيرة مثل:

• أداة PsExec لإدارة العمليات والأنظمة عن بعد.
• أداة AzCopy المخصصة لنقل البيانات في بيئات الحوسبة السحابية.
• أداة Sysmon لمراقبة وتحليل نشاط أنظمة ويندوز.
• أداة LAPS لإدارة كلمات مرور حسابات المسؤولين المحليين.
• أداة Kusto Explorer المتقدمة لتحليل البيانات الضخمة.

يشير خبراء تيكبامين إلى أن إصابة جهاز كمبيوتر خاص بمدير نظام تعني منح المهاجمين "مفاتيح المملكة". يسهل ذلك التحرك داخل شبكة المؤسسة والوصول إلى البيانات الحساسة بكل سهولة.

دور شبكة إيثيريوم في الهجمات الرقمية

تعتبر الميزة الأكثر تطوراً في هذه الحملة هي استخدام تقنية "حل العناوين الميتة" (Dead Drop Resolving) القائمة على البلوكشين. بدلاً من الاتصال بنطاقات أو عناوين IP ثابتة يمكن حظرها بسهولة، تتواصل البرمجية مع شبكة إيثيريوم (Ethereum).

تقوم برمجية إيثر رات الخبيثة بالاستعلام عن عقد ذكي محدد على بلوكشين إيثيريوم لاسترداد عنوان خادم التحكم والسيطرة (C2) الحالي بشكل ديناميكي. هذه الطريقة تجعل من الصعب جداً على أنظمة الدفاع التقليدية تتبع أو إيقاف الهجوم.

نصائح تيكبامين للحماية من البرمجيات المتطورة

لحماية بيئة العمل الخاصة بك من مثل هذه الهجمات المعقدة، ينصح خبراء التقنية باتباع الإجراءات التالية:

• تحميل الأدوات الإدارية حصراً من المواقع الرسمية لشركة مايكروسوفت أو الجهات المطورة.
• تفعيل تقنيات التحقق من التوقيع الرقمي لجميع ملفات MSI قبل التثبيت.
• مراقبة حركة المرور الخارجة نحو منصات البلوكشين العامة من أجهزة الموظفين التقنيين.
• استخدام حلول الكشف والاستجابة (EDR) المتقدمة لرصد السلوكيات غير الطبيعية.

في الختام، تظل برمجية إيثر رات الخبيثة تذكيراً قوياً بأن المهاجمين يبتكرون باستمرار طرقاً جديدة للتخفي. البقاء على اطلاع بأحدث التهديدات الرقمية هو خط الدفاع الأول لحماية أصول شركتك الرقمية.