فيروس Qilin يعطل 300 أداة حماية باستخدام ثغرات خطيرة
🗓 الاثنين - 6 أبريل 2026، 01:50 مساءً |
⏱ 3 دقيقة |
👁 36 مشاهدة
كشفت تقارير حديثة عن استخدام فيروسات الفدية Qilin و Warlock لثغرات خطيرة لتعطيل أكثر من 300 أداة حماية على الأجهزة المخترقة بنجاح.كيف يعطل فيروس Qilin برامج الحماية؟يعتمد المهاجمون على تقنية متطورة تُعرف باسم إحضار برنامج التشغيل الضعيف (BYOVD). تهدف هذه التقنية بشكل أساسي إلى إسكات وتحييد أدوات الأمان التي تعمل على الأنظمة المخترقة، مما يترك الأجهزة عرضة للخطر تماماً.أوضحت متابعات فريق تيكبامين التقنية أن هذه الهجمات المتقدمة تنشر ملفًا ضارًا يُسمى "msimg32.dll". يبدأ هذا الملف المعقد سلسلة إصابة متعددة المراحل لإيقاف حلول اكتشاف نقاط النهاية والاستجابة لها (EDR) بشكل نهائي.تشمل أبرز قدرات هذا الملف الضار في اختراق الأنظمة ما يلي:تعطيل أكثر من 300 برنامج تشغيل EDR من معظم شركات الأمن السيبراني.إخفاء عمليات التسلل داخل الذاكرة العشوائية لتجنب الاكتشاف المبكر.تجاوز وإيقاف سجلات الأحداث الخاصة بنظام التشغيل ويندوز (ETW).ما هي تقنيات التخفي التي يستخدمها Warlock؟يستخدم المحمل الخاص بالملف الضار مجموعة من التقنيات الاستثنائية للتهرب من الرصد الأمني. يعمل البرنامج على تحييد خطافات وضع المستخدم ببراعة، بالإضافة إلى إخفاء أنماط استدعاء واجهة برمجة التطبيقات.بفضل هذه الخطوات المدروسة، يتم فك تشفير الحمولة الأساسية القاتلة لبرامج الحماية وتحميلها بالكامل في الذاكرة. يسمح هذا للفيروس بالعمل بسرية تامة وتنفيذ مهامه التخريبية دون إثارة أي إنذارات أمنية داخل النظام المتضرر.استخدام برامج تشغيل مزدوجة للاختراقبمجرد إطلاقه وتغلغله، يستغل البرنامج الخبيث برنامجين منفصلين للتشغيل لإتمام مهامه المعقدة. والجدير بالذكر أن هذه البرامج ذاتها قد تم استخدامها سابقًا في هجمات مشابهة مرتبطة بعصابات فيروسات الفدية الشهيرة مثل Akira و Makop.قبل الشروع في تحميل البرنامج الثاني، يقوم المكون الضار بإلغاء تسجيل استدعاءات المراقبة التي تنشئها أنظمة الحماية. يضمن ذلك استمرار إنهاء العمليات الأمنية بسلام دون أي تدخل خارجي، وهو ما يعكس التطور المذهل في هذه البرمجيات الخبيثة.لماذا يعتبر Qilin التهديد الأخطر مؤخراً؟برزت مجموعة Qilin كواحدة من أكثر مجموعات برامج الفدية شراسة ونشاطًا في الأشهر الأخيرة. وقد تسببت في الإضرار بمئات الضحايا حول العالم، ومثلت نسبة كبيرة من الهجمات المسجلة عالمياً خلال عام 2025.تعتمد استراتيجية الهجوم الخاصة بهم على عدة محاور أساسية لضمان النجاح:الوصول الأولي: تعتمد المجموعة بشكل كبير على بيانات الاعتماد المسروقة لاختراق الأنظمة بصمت.أنشطة ما بعد الاختراق: يتم التركيز على توسيع السيطرة بشكل منهجي لتعظيم التأثير وجمع أكبر قدر من البيانات.توقيت التنفيذ: يتم تنفيذ وتشغيل برنامج الفدية عادةً بعد ستة أيام تقريباً من الاختراق الأولي للشبكة.نؤكد في تيكبامين على الضرورة القصوى لقيام المؤسسات بتحديث أنظمتها الأمنية وتفعيل آليات الكشف المبكر باستمرار. إن اكتشاف النشاط الضار في مراحله الأولى وتتبع سلوكيات فيروسات الفدية يظل خط الدفاع الأول والأهم ضد هذه الهجمات المتطورة والمدمرة.