Netcrook Logo
👤 NEURALSHIELD
🗓️ 23 Jan 2026   🌍 Asia

«التخفّي في السحابة: كيف تتفوّق برمجية VoidLink الخبيثة المصمّمة حسب الطلب على المدافعين»

برمجية خبيثة جديدة مطوّرة في الصين تُدعى VoidLink تعيد كتابة قواعد هجمات السحابة عبر روتكِتات مبنية خصيصًا وتكتيكات مراوغة بلا ملفات.

بدأ الأمر بهدوء - مجرد فحص روتيني آخر عبر خوادم الشركات. لكن عندما دقّق باحثو الأمن في Check Point وSysdig أكثر، كشفوا عن حرباء رقمية: VoidLink. وعلى خلاف أي برمجية خبيثة سبقتها، لا تكتفي VoidLink بالتسلّل متجاوزة الدفاعات؛ بل تتكيّف، وتفصّل نفسها وفق مضيفها، وتترصّد الأدوات ذاتها المفترض أن توقفها. وبينما يسارع مزوّدو السحابة ومدافعو المؤسسات لإعادة التموضع، بات أمر واحد واضحًا: لقد وصل عصر جديد من الهجمات السيبرانية المصمّمة حسب الطلب.

سلالة جديدة من البرمجيات الخبيثة: مُفصّلة لكل ضحية

أكثر ابتكارات VoidLink إثارة للقلق هي قدرته على صنع «عباءة تخفٍّ» لكل هدف. فمعظم البرمجيات الخبيثة تتعثّر عندما تصطدم بنظام يحمل إصدار لينكس غير متوقّع. ليس VoidLink. فبدلًا من شحن روتكِت مُسبق البناء، يقوم بعمل بصمة لنواة الجهاز المصاب ويطلب روتكِتًا مُفصّلًا مباشرة من خادم القيادة الخاص به. يضمن هذا التجميع عند الطلب اندماجًا سلسًا مع الهدف، ويقلّل بشكل كبير احتمال الكشف أو تعطل النظام.

ولا يقلّ لفتًا للانتباه استخدام البرمجية للغة Zig. فـZig أرض غير مألوفة لمعظم ماسحات الأمان، التي تُضبط عادة لالتقاط الأنماط في C++ أو Go. يتيح هذا الاختيار لزرعة VoidLink المدمجة بحجم 1.2 ميغابايت تجاوز كثير من المرشحات التقليدية مع الاحتفاظ بتحكم منخفض المستوى في النظام.

اصطياد الصيّادين

لا تكتفي VoidLink بالاختباء - بل تبحث بنشاط عن المدافعين. فهي تمسح بحثًا عن منتجات أمنية رائدة مثل CrowdStrike وSentinelOne وCarbon Black وFalco. وإذا أحسّت بأنها تحت المراقبة، تتحول إلى وضع «الارتياب»، فتبطئ أنشطتها وتُطيل اتصالاتها لتفادي إطلاق إنذارات السلوك.

غزو غير مرئي: بلا ملفات وخفي

ولزيادة تعكير المشهد، لا تكتب VoidLink نفسها على القرص مطلقًا. إذ تتكشف عملية التسليم ذات المراحل الثلاث بالكامل في الذاكرة، باستخدام استدعاءات نظام غامضة و«قاطرات» صغيرة متنكرة كمهام خلفية. وحتى اتصالاتها متخفّية، إذ تركب على حركة «ping» الروتينية لتندمج في ضجيج أحاديث النظام اليومية.

ومع ذلك، وعلى الرغم من كل هذا التعقيد، ليست VoidLink منيعة. فقد اكتشف باحثو Sysdig رموز تصحيح (debug symbols) ما تزال موجودة في الشيفرة - وهي علامة على أن البرمجية الخبيثة ما تزال قيد البناء. تمنح هذه النافذة المدافعين وقتًا ثمينًا للتكيّف، لكن الساعة تدق قبل أن يطلق صانعو VoidLink العنان لها على نطاق واسع.

الخلاصة: سباق تسلّح جديد في السحابة

يشير ظهور VoidLink إلى تحوّل مقلق في مشهد الجريمة السيبرانية: لم يعد المهاجمون يرضون بأدوات «مقاس واحد يناسب الجميع». ومع الروتكِتات المفصّلة والتخفّي بلا ملفات، يصبح مستقبل البرمجيات الخبيثة شخصيًا - وفعّالًا على نحو خطير. وبالنسبة للمدافعين، تعني اليقظة مراقبة ليس الملفات فحسب، بل الذاكرة ونشاط النواة أيضًا، بينما يحتدم سباق التفوق على التهديدات المخصّصة في السحابة.

WIKICROOK

  • روتكِت: الروتكِت برمجية خبيثة متخفّية تُخفي نفسها على جهاز ما، ما يتيح للمهاجمين التحكم بالنظام سرًا وتفادي الكشف.
  • eBPF: eBPF تقنية في نواة لينكس لتشغيل برامج آمنة ضمن بيئة معزولة (sandbox)، ما يتيح قدرات متقدمة للمراقبة والتتبّع وميزات أمنية دون تغييرات على النواة.
  • التنفيذ بلا ملفات: التنفيذ بلا ملفات أسلوب هجوم سيبراني تعمل فيه البرمجيات الخبيثة داخل الذاكرة باستخدام أدوات نظام موثوقة، ما يجعل اكتشافها عبر أدوات مكافحة الفيروسات التقليدية صعبًا.
  • Kubernetes: Kubernetes برمجية مفتوحة المصدر تؤتمت نشر التطبيقات وتوسيعها وإدارتها، ما يسهل على الشركات تشغيل الأنظمة بشكل موثوق.
  • أمر: الأمر هو تعليمة تُرسل إلى جهاز أو برنامج، غالبًا من خادم قيادة وتحكم (C2)، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
VoidLink Cloud Security Custom Malware
NEURALSHIELD NEURALSHIELD
AI System Protection Engineer
← Back to news