تحذير أمني: بوت نت PowMix يخترق أجهزة الموظفين بذكاء

حذر خبراء الأمن السيبراني من حملة خبيثة نشطة تستخدم بوت نت PowMix لاستهداف الموظفين، معتمداً على تقنيات تخفي متطورة لتجاوز أنظمة الحماية.

وتشير التقارير الأمنية الحديثة إلى أن هذه البرمجيات الخبيثة بدأت نشاطها منذ أواخر العام الماضي، مستهدفة بشكل رئيسي قطاع العمل والشركات. وتتميز هذه الحملة بتجنبها للأساليب التقليدية في الاختراق والاعتماد على حيل برمجية معقدة.

كيف يعمل بوت نت PowMix الجديد؟

وفقاً لمتابعة تيكبامين المستمرة لتهديدات الأمن الرقمي، يعتمد هذا الهجوم على فترات اتصال عشوائية بخوادم القيادة والسيطرة (C2). يهدف هذا التكتيك إلى تجنب الاكتشاف من قبل أنظمة الحماية التي تراقب الاتصالات المستمرة والمنتظمة.

تعتبر هذه التقنية من الأساليب المتقدمة في عالم الهجمات السيبرانية، حيث يصعب على برامج الجدار الناري التقليدية تتبع هذه الحزم المتقطعة والمموهة بشكل احترافي.

بالإضافة إلى ذلك، يقوم الفيروس بتضمين بيانات الضحية المشفرة داخل روابط تبدو وكأنها واجهات برمجة تطبيقات (REST API) شرعية. كما يمتلك قدرة فريدة على تحديث نطاقات خوادم الاتصال الخاصة به برمجياً وبشكل ديناميكي لضمان بقائه متصلاً.

مراحل اختراق الأجهزة والشبكات

تبدأ سلسلة الإصابة عادةً عبر رسائل تصيد احتيالي ذكية تحتوي على ملفات خبيثة. وبمجرد تفاعل الضحية معها، تبدأ العمليات التالية في الخلفية:

• استلام ملف ZIP ملغم عبر البريد الإلكتروني.
• تفعيل اختصار ويندوز (LNK) لتشغيل أداة PowerShell.
• استخراج البرمجيات الخبيثة المخفية وفك تشفيرها بصمت.
• تشغيل الفيروس مباشرة في الذاكرة العشوائية لتجنب برامج مكافحة الفيروسات.

ما هي أهداف برمجيات PowMix الخبيثة؟

تم تصميم هذا البوت نت غير المسبوق لتنفيذ مجموعة من المهام الخطيرة والمعقدة على الأجهزة المخترقة. بمجرد التسلل، يقوم الفيروس بإنشاء مهام مجدولة لضمان بقائه في النظام بشكل دائم.

من المثير للقلق أن هذه البرمجيات لا تكتفي باختراق الجهاز فحسب، بل تقوم بفحص شجرة العمليات داخل النظام للتأكد من عدم وجود تعارض أو نسخ سابقة من نفس الفيروس، مما يضمن استقرار عملية الاختراق بالكامل.

• توفير وصول عن بُعد للمخترقين للتحكم بالنظام بصلاحيات واسعة.
• تنفيذ أوامر برمجية عشوائية وتثبيت حمولات إضافية مخفية.
• جمع البيانات الحساسة وإجراء عمليات استطلاع دقيقة للشبكة المستهدفة.

كيف يخدع الفيروس ضحاياه لتجنب الاكتشاف؟

لتشتيت انتباه الضحية ومنع الشكوك، يفتح الفيروس مستندات وهمية تبدو رسمية فور اختراق الجهاز. تحمل هذه المستندات شعارات علامات تجارية معروفة وتتضمن نصوصاً قانونية تفصيلية، مما يجعلها تبدو مقنعة للغاية للباحثين عن عمل أو الموظفين الجدد.

وتتقاطع هذه الحملة، حسب تقييم تيكبامين، مع هجمات سابقة عُرفت باسم ZipLine والتي استهدفت سلاسل التوريد. يشمل هذا التشابه استخدام ملفات ZIP، والاعتماد على المهام المجدولة، واستغلال منصات سحابية شرعية مثل Heroku لإنشاء خوادم القيادة.

خطوات ضرورية للحماية من التهديدات المتقدمة

يظل الحذر والوعي التقني هما خط الدفاع الأول ضد هذه الهجمات المعقدة. يجب على المؤسسات والأفراد تبني استراتيجيات أمنية استباقية ومستمرة لحماية بياناتهم.

تشكل هذه التهديدات تحدياً كبيراً لفرق تقنية المعلومات في الشركات، مما يحتم عليهم تبني سياسات أمان صارمة تعتمد على مبدأ انعدام الثقة لمواجهة أحدث الابتكارات في عالم البرمجيات الخبيثة.

• تجنب فتح المرفقات أو الروابط من مرسلين غير موثوقين نهائياً.
• تحديث أنظمة التشغيل وبرامج مكافحة الفيروسات بشكل دوري.
• تفعيل المراقبة المتقدمة لحركة مرور الشبكة لاكتشاف الاتصالات الشاذة.
• توعية الموظفين بأساليب التصيد الاحتيالي المتطورة وطرق التعرف عليها مبكراً.