في السنوات الأخيرة، شهدت الهجمات الإلكترونية تطورًا ملحوظًا، حيث أصبح المهاجمون يعتمدون بشكل متزايد على منصات التواصل الاجتماعي لتنفيذ عملياتهم الخبيثة. مؤخرًا، كشف باحثون في الأمن السيبراني عن برمجية خبيثة جديدة مكتوبة بلغة Go تستخدم تيليجرام كقناة للتحكم عن بُعد. نظرًا لسهولة استغلال هذه المنصة وصعوبة اكتشاف النشاطات المشبوهة عليها، بات هذا الأسلوب يشكل تهديدًا متزايدًا لأنظمة الحماية التقليدية. في هذا التقرير، سنناقش آلية عمل هذه البرمجية، المخاطر التي تشكلها، وأفضل الممارسات لحماية الأنظمة من تأثيرها.

كيف تعمل البرمجية الخبيثة؟

أجرى فريق Netskope Threat Labs تحليلًا دقيقًا لهذه البرمجية، حيث أوضح الباحث لياندرو فرويس أنها لا تزال قيد التطوير، ولكنها تمتلك بالفعل إمكانيات تنفيذية متكاملة. علاوة على ذلك، تشير آلية عملها إلى أنها قد تتلقى تحديثات مستقبلية لتعزيز قدرتها على التخفي وتنفيذ هجمات أكثر تعقيدًا.

1. آلية التشغيل والانتشار

• تبدأ البرمجية بفحص المسار الذي تعمل منه، فإذا لم يكن C:\Windows\Temp\svchost.exe، فإنها تنسخ نفسها إلى هذا المسار، ثم تقوم بتشغيل النسخة الجديدة وإيقاف العملية الأصلية.
• تستهدف أجهزة Windows تحديدًا، حيث تعمل في الخلفية دون إثارة أي نشاط مشبوه قد يلفت انتباه المستخدم أو أنظمة الحماية.

2. استخدام تيليجرام كقناة للتحكم

• تعتمد البرمجية على مكتبة مفتوحة المصدر للتكامل مع واجهة برمجة تطبيقات (API) بوت تيليجرام.
• يتلقى المهاجمون الأوامر عبر قناة تيليجرام مخفية، مما يتيح لهم تنفيذ عملياتهم دون الحاجة إلى خوادم تقليدية يمكن تتبعها.
• بعد استلام الأوامر، تقوم البرمجية بتنفيذها وإرسال النتائج فورًا إلى القناة السرية، مما يسمح للمهاجمين بالتحكم الكامل في الأجهزة المصابة.

الأوامر التي يدعمها الباب الخلفي

توفر البرمجية مجموعة من الأوامر التي تمنح المهاجمين سيطرة واسعة على الجهاز المصاب، بما في ذلك:

1. /cmd – تشغيل أوامر PowerShell مباشرة.
2. /persist – إعادة تشغيل البرمجية للتأكد من بقائها نشطة.
3. /screenshot – (لم يتم تفعيل هذه الميزة بعد، لكنها تشير إلى إمكانية تطوير البرمجية لاحقًا).
4. /selfdestruct – حذف الملف التنفيذي وإيقاف تشغيل البرمجية.

أصل البرمجية والدلائل الجغرافية

عند تحليل الشيفرة المصدرية، لاحظ الباحثون أن البرمجية تعرض رسائل باللغة الروسية عند تنفيذ أمر “/cmd”. بناءً على ذلك، يرجح الخبراء أن مطوريها قد يكونون من خلفية روسية، أو أنها تستهدف ضحايا يتحدثون الروسية. إلى جانب ذلك، فإن اعتمادها على تيليجرام كقناة اتصال يتماشى مع النهج الذي تتبعه العديد من مجموعات القرصنة الروسية، التي لطالما استخدمت هذه المنصة لتنفيذ عملياتها السيبرانية.

لماذا يعتمد القراصنة على تيليجرام؟

خلال السنوات الأخيرة، زادت الضغوط التنظيمية على خدمات الاستضافة التقليدية، مما دفع المهاجمين إلى البحث عن بدائل أكثر مرونة. وبالتالي، أصبح تيليجرام أحد الخيارات المثالية للهجمات السيبرانية بسبب:

• سهولة التكامل: يمكن التحكم في البرمجيات الضارة بسهولة عبر واجهة برمجة التطبيقات (API) الخاصة بتيليجرام، مما يلغي الحاجة إلى بنية تحتية معقدة.
• صعوبة الكشف: نظرًا لأن تيليجرام يعتمد على تشفير قوي لحركة البيانات، يصبح من الصعب على برامج الحماية اكتشاف أي نشاط مشبوه يتم عبره.
• انتشاره الواسع: يستخدم تيليجرام ملايين الأشخاص يوميًا، مما يساعد المهاجمين على إخفاء أنشطتهم ضمن التدفق العادي للبيانات.

كيف تحمي نفسك من هذه التهديدات؟

للحد من مخاطر هذه الهجمات، ينبغي تنفيذ استراتيجيات أمان قوية تشمل الإجراءات التالية:

1. مراقبة حركة الشبكة

• تحليل الاتصالات الخارجة للتأكد من عدم وجود نشاط مشبوه مرتبط بتيليجرام.
• استخدام أدوات تحليل الشبكة لاكتشاف أي محاولات غير عادية للاتصال بمنصات خارجية.

2. تحديث أنظمة الحماية بانتظام

• التأكد من تحديث برامج مكافحة الفيروسات وجدران الحماية لمنع تهديدات البرمجيات الخبيثة الجديدة.
• تطبيق تقنيات الكشف عن السلوك غير الطبيعي للكشف عن العمليات المشبوهة قبل أن تسبب ضررًا.

3. تدريب الموظفين والمستخدمين

• تنظيم جلسات توعية حول المخاطر الناشئة عن البرمجيات الخبيثة.
• تحفيز المستخدمين على الإبلاغ الفوري عن أي نشاط غير طبيعي على الأجهزة أو الشبكة.

4. تقييد التطبيقات غير المصرح بها

• منع تشغيل البرمجيات غير المصرح بها عبر سياسات تنفيذ التطبيقات (AppLocker).
• الحد من تثبيت البرامج التي لا تتوافق مع السياسات الأمنية المعتمدة في المؤسسات.

ما الذي قد يحدث بعد ذلك؟

مع استمرار تطور الأدوات والتقنيات السيبرانية، من المتوقع أن نرى برمجيات خبيثة أكثر تعقيدًا تستخدم Discord أو حتى WhatsApp كقنوات للتحكم والسيطرة. لذا، يجب على المؤسسات الاستثمار في حلول أمنية متقدمة يمكنها اكتشاف ومنع هذه التهديدات بشكل استباقي. بالإضافة إلى ذلك، قد تبدأ المنصات مثل تيليجرام في تعزيز إجراءات الحماية للحد من إساءة استخدام خدماتها من قبل الجهات الخبيثة.

ضرورة التحرك السريع لمكافحة التهديدات المتطورة

تؤكد هذه البرمجية الخبيثة مدى تطور الهجمات الإلكترونية في الوقت الحالي. نظرًا لأن المهاجمين يستغلون منصات التواصل الاجتماعي للبقاء بعيدين عن أنظار أنظمة الحماية التقليدية، يصبح من الصعب اكتشافهم وإيقافهم. لذلك، من الضروري أن تتبنى المؤسسات استراتيجيات أمان متقدمة تشمل تحليل الشبكة، تحديث الأنظمة، وتعزيز وعي المستخدمين بالمخاطر الناشئة. كلما كان هناك استعداد أمني أقوى، زادت فرص الحد من نجاح الهجمات الإلكترونية في المستقبل.