اكتشف خبراء الأمن السيبراني حملة خبيثة جديدة تستخدم برمجية Dohdoor لاختراق قطاعي التعليم والصحة، متجاوزة أنظمة الحماية المتطورة والمراقبة.
ما هي برمجية Dohdoor الخبيثة وكيف تعمل؟
كشفت تقارير أمنية حديثة عن مجموعة قرصنة متطورة تُعرف تقنياً باسم "UAT-10027"، والتي تشن هجمات مستمرة وموجهة منذ أواخر عام 2025. تهدف هذه الحملة بشكل رئيسي إلى استغلال الثغرات ونشر باب خلفي (Backdoor) غير معروف سابقاً يطلق عليه اسم Dohdoor، والذي يمثل تهديداً معقداً للشبكات المؤسسية.
تستخدم هذه البرمجية الخبيثة تقنية "DNS-over-HTTPS" المتقدمة لتأمين وتشفير اتصالات خوادم القيادة والتحكم (C2). هذا التشفير المعقد يسمح للمهاجمين بتحميل وتنفيذ ملفات ضارة إضافية داخل ذاكرة النظام بشكل خفي ومباشر دون ترك آثار واضحة.
أبرز تقنيات الهجوم المستخدمة في الحملة
تعتمد مجموعة القرصنة على سلسلة معقدة من الخطوات لاختراق الأنظمة، وتشمل الآتي:
- الهندسة الاجتماعية: تبدأ الهجمات غالباً عبر إرسال رسائل تصيد احتيالي مدروسة بعناية لخداع الضحايا ودفعهم للتفاعل.
- سكربتات PowerShell: تُستخدم هذه النصوص البرمجية لتنزيل أوامر خبيثة خفية من خوادم وتطبيقات بعيدة.
- ملفات الدفعات (Batch Scripts): تقوم بتشغيل وتسهيل تنزيل مكتبات الربط الديناميكي (DLL) الضارة.
- التحميل الجانبي (DLL Side-loading): استغلال ملفات نظام ويندوز شرعية مثل "Fondue.exe" أو "mblctr.exe" لتشغيل مكتبات ضارة مثل "propsys.dll".
كيف تتجاوز هذه الهجمات أنظمة الأمان المتطورة؟
وفقاً لمتابعة تيكبامين المستمرة لتطورات الأمن الرقمي، يقوم المهاجمون بإخفاء خوادمهم بشكل احترافي خلف البنية التحتية الواسعة لشبكة Cloudflare. تضمن هذه الخطوة الاستراتيجية ظهور جميع الاتصالات الصادرة من جهاز الضحية كحركة مرور شرعية وموثوقة نحو عناوين IP عالمية.
تساعد هذه الاستراتيجية الماكرة في تجاوز أنظمة الكشف المستندة إلى DNS، أدوات تحليل الشبكات، وثغرات المراقبة المعتادة. تضمن هذه التقنية بقاء اتصالات البرمجيات الخبيثة مخفية تماماً عن البنية التحتية التقليدية لأمن الشبكات.
تعطيل أنظمة الاستجابة (EDR)
إلى جانب التخفي الشبكي، تم تصميم البرمجية بعناية لتعطيل استدعاءات النظام (System Calls). هذه الخطوة ضرورية لتجنب برامج الكشف والاستجابة لنقاط النهاية (EDR) التي تراقب عادةً أنشطة واجهة برمجة تطبيقات ويندوز عبر ملف "NTDLL.dll" الحيوي.
من يقف وراء هجمات مجموعة UAT-10027؟
لا تزال الهوية الدقيقة للمهاجمين والجهات الراعية لهم غير مؤكدة تماماً حتى الآن. لكن المحللين في مجال الأمن السيبراني لاحظوا تشابهات تكتيكية وبرمجية قوية بين برمجية Dohdoor وأداة تحميل تُعرف باسم "Lazarloader".
هذه الأداة السابقة كانت تُستخدم بشكل واسع من قبل مجموعة قراصنة "لازاروس" سيئة السمعة والتابعة لكوريا الشمالية، خاصة في هجماتها التي استهدفت كوريا الجنوبية. ومع ذلك، هناك اختلاف جوهري في أسلوب العمل الحالي.
ورغم هذا التشابه التقني العميق، فإن استهداف قطاعي التعليم والرعاية الصحية الحساسين في الولايات المتحدة يمثل انحرافاً ملحوظاً عن الأهداف المعتادة لمجموعة لازاروس. تاريخياً، ركزت هذه المجموعة هجماتها على سرقة العملات الرقمية والمؤسسات المالية، مما يطرح تساؤلات جديدة حول الدوافع الحقيقية وراء هذه الحملة المتقدمة.
