🗓 الجمعة - 27 فبراير 2026، 06:50 مساءً |
⏱ 2 دقيقة |
👁 5 مشاهدة
هجمات سكاروكروفت تعود بأدوات تجسس تستغل زوهو WorkDrive ووسائط USB لاختراق شبكات معزولة، ما يرفع مخاطر الاختراق للجهات الحساسة.ما هي هجمات سكاروكروفت الجديدة على الشبكات المعزولة؟الحملة المعروفة باسم Ruby Jumper ظهرت نهاية 2025 وتستخدم سلسلة أدوات متكاملة للمراقبة والتسلل. ووفقاً لمتابعة تيكبامين، تستهدف الحملة مؤسسات تعتمد العزل الشبكي كخط دفاع رئيسي.RESTLEAFSNAKEDROPPERTHUMBSBDVIRUSTASKFOOTWINEBLUELIGHTكيف يبدأ الاختراق عبر ملف LNK؟عند فتح ملف LNK خبيث، يتم تشغيل أمر PowerShell يمسح المجلد الحالي لتحديد نفسه بناءً على حجم الملف. بعدها يتم استخراج عدة حمولات مخفية من مواقع ثابتة داخل الملف ذاته.مستند طُعم عن صراع فلسطين وإسرائيل بالعربيةحمولة تنفيذية تعمل في الذاكرةسكربت PowerShell إضافيملف Batch لتمرير التنفيذكيف استُخدم زوهو WorkDrive كقناة تحكم؟الحمولة التنفيذية RESTLEAF تعمل في الذاكرة وتستخدم Zoho WorkDrive كقناة تحكم واتصال لأول مرة ضمن عمليات سكاروكروفت. بعد المصادقة بواسطة رمز وصول صالح، تنقل الأوامر وتحصل على حمولات إضافية.مصادقة عبر access tokenتنزيل shellcode مشفّرحقن الشيفرة في عمليات النظامتمهيد نشر SNAKEDROPPERما دور RESTLEAF وSNAKEDROPPER؟يقوم SNAKEDROPPER بتثبيت بيئة Ruby وإعداد الاستمرارية عبر مهمة مجدولة، ثم يزرع THUMBSBD وVIRUSTASK. وتؤكد التحليلات أن هذا المسار يعزز الثبات على الجهاز لفترات أطول.كيف تعمل وسائط USB على ربط الأنظمة غير المتصلة؟أداة THUMBSBD متنكرة كملف Ruby وتستغل وسائط USB لنقل الأوامر بين الأنظمة المتصلة بالإنترنت وتلك المعزولة. عند اكتشاف وسيط قابل للإزالة، تنشئ مجلداً مخفياً لتخزين الأوامر أو نتائج التنفيذ.جمع معلومات النظام الأساسيةتنزيل حمولة ثانوية من خادم بعيدتسريب ملفات حساسةتنفيذ أوامر عن بُعدتنظيم تبادل البيانات عبر USBما الذي يجب على المؤسسات فعله لمواجهة المخاطر؟خطوات دفاعية عمليةتشير تيكبامين إلى أن مراقبة سلوك PowerShell والمهام المجدولة مؤشر مبكر على الاختراق. كما أن تتبع استخدام خدمات التخزين السحابي غير المصرح بها يقلل فرص التسلل.تقييد استخدام وسائط USB في البيئات الحساسةمراقبة الاتصالات غير المعتادة مع Zoho WorkDriveحظر تشغيل ملفات LNK غير موثوقةتفعيل سياسات PowerShell الموقعة فقطتحديث حلول EDR للكشف عن الحقن البرمجيالخلاصة أن تعزيز العزل الحقيقي وفحص وسائط النقل يقللان فرص هجمات سكاروكروفت، خصوصاً في القطاعات الحيوية والأنظمة الحرجة.