قراصنة يستغلون مايكروسوفت تيمز لإخفاء برمجيات خبيثة

اكتشف خبراء الأمن السيبراني هجوماً متطوراً حيث يستغل قراصنة "دراغون فورس" خوادم مايكروسوفت تيمز لإخفاء برمجية خبيثة تعرف باسم Backdoor.Turn وتجاوز أنظمة الحماية.

كيف يستغل القراصنة خوادم مايكروسوفت تيمز؟

وفقاً للتقارير الأمنية الحديثة التي تابعها فريق تيكبامين، تم رصد مجموعة القراصنة المرتبطة ببرامج الفدية "دراغون فورس" وهي تستخدم أداة وصول عن بُعد (RAT) مبرمجة بلغة Go.

تهدف هذه الأداة بشكل أساسي إلى إخفاء حركة مرور خوادم القيادة والسيطرة (C2) داخل البنية التحتية لخدمات مايكروسوفت. وقد تم اكتشاف هذا الهجوم المعقد بعد استهداف شركة خدمات أمريكية كبرى لم يتم الكشف عن هويتها.

تجاوز أنظمة المراقبة الشبكية بنجاح

تعتمد البرمجية الخبيثة على الحصول على رمز زائر مجهول من خدمات الهوية الخاصة بسكايب. بعد ذلك، تستخدم خادم (TURN) شرعي تابع لشركة مايكروسوفت لإنشاء اتصال آمن ومخفي.

هذا التكتيك الدقيق يجعل حركة المرور تبدو وكأنها اتصالات شرعية تماماً وصادرة نحو خوادم مايكروسوفت تيمز. ونتيجة لذلك، يعجز المدافعون الشبكيون عن رؤية النشاط الخبيث الذي استمر براحة تامة لمدة تصل إلى شهرين داخل شبكة الضحية.

ما هي آلية عمل برمجية Backdoor.Turn الخبيثة؟

يُعتقد أن القراصنة تمكنوا من الوصول الأولي للشبكة من خلال استغلال ثغرة أمنية في خوادم SQL أو MS-SQL. كما يُحتمل بشدة أنهم اشتروا هذا الوصول الجاهز من وسطاء متخصصين في اختراق الشبكات (IAB).

بدأ النشاط الخبيث الفعلي بتشغيل أمر عبر PowerShell لتحميل ملف ZIP مضغوط، وذلك تحت غطاء تحديث أمني وهمي من الدعم الفني لتمويه العملية.

مراحل الهجوم التقني بالتفصيل

تتضمن عملية الاختراق سلسلة من الخطوات المعقدة التي تمكن القراصنة من السيطرة التامة، ويمكن تلخيصها فيما يلي:

• التحميل الجانبي: استخدام تقنية (DLL side-loading) لتشغيل ملفات ضارة دون لفت الانتباه.
• تعطيل الحماية: إسكات وإيقاف برامج الأمان باستخدام تعريفات قديمة تابعة لشركة هواوي (HWAuidoOs2Ec.sys).
• تقنية BYOVD: إحضار برامج تشغيل ضعيفة ومعرضة للاختراق للسيطرة على نواة النظام بسهولة.
• تنفيذ الأوامر: حقن البرمجية الخبيثة داخل عملية "DbgView64.exe" الشرعية لضمان البقاء والاستمرار في النظام.

لماذا تعتبر تقنية Ghost Calls خطيرة جداً؟

تعتمد آلية اتصال Backdoor.Turn على تقنية تخفٍ فائقة تُعرف باسم مكالمات الأشباح أو (Ghost Calls). وتتيح هذه التقنية المتقدمة للبرمجية الخبيثة تنفيذ مجموعة واسعة من العمليات الخطيرة بصمت تام.

وبحسب تحليل خبراء تيكبامين، فإن قدرات هذه البرمجية الخبيثة تتجاوز مجرد سرقة البيانات العادية، فهي تمنح القراصنة تحكماً كاملاً بالشبكة المخترقة تمهيداً لشن هجمات فدية مدمرة.

أبرز قدرات البرمجية الخبيثة

• تنفيذ الأوامر البرمجية عن بُعد بصلاحيات إدارية عالية.
• إنشاء عمليات وبرامج جديدة داخل النظام المخترق بسهولة.
• إجراء مسح شبكي شامل لاكتشاف أجهزة جديدة للسيطرة عليها.
• البحث الدقيق في قواعد بيانات LDAP و Active Directory.

كيف يمكن حماية المؤسسات من هذه التهديدات؟

مع تطور أساليب الاختراق واستغلال منصات موثوقة مثل مايكروسوفت تيمز، يتوجب على الشركات تبني استراتيجيات دفاعية صارمة لحماية بياناتها الحساسة.

• تحديث الأنظمة فوراً: التأكد من إغلاق ثغرات خوادم SQL وتحديثها باستمرار لتجنب الاختراق الأولي.
• مراقبة السلوك الشبكي: عدم الاعتماد فقط على حظر العناوين المشبوهة، بل مراقبة أي شذوذ غير منطقي في الاتصالات الشرعية.
• حظر التعريفات القديمة: منع تشغيل برامج التشغيل الضعيفة (Vulnerable Drivers) لتقليل المخاطر الأمنية بشكل كبير.