ظلال افتراضية: كيف يسلّح مجرمو الإنترنت QEMU للإفلات من المدافعين وسرقة بيانات الاعتماد
العنوان الفرعي: يحوّل المهاجمون الآلات الافتراضية إلى حصون غير مرئية لبرامج الفدية وسرقة بيانات الاعتماد، تاركين فرق الأمن عمياء.
في ليلة ثلاثاء هادئة، لاحظ محلّل أمن في أحد البنوك ارتفاعًا مفاجئًا في حركة مرور SSH الصادرة من خادم ويندوز يبدو عاديًا. ما بدا كافتراضية روتينية اتضح أنه رأس جبل جليد لهجوم سيبراني متطور - هجوم استغل أداة غير متوقعة: QEMU، وهو مُحاكي آلات افتراضية شرعي مفتوح المصدر. كان المهاجمون قد أنشأوا ساحة لعب مخفية داخل بنية البنك التحتية نفسها، يسحبون بيانات الاعتماد ويجهزون برامج الفدية بينما يظلون شبه غير مرئيين.
لطالما عُرف QEMU كأداة مفيدة لتشغيل أنظمة تشغيل افتراضية، لكنه أصبح بهدوء سلاحًا مفضلًا لدى جهات التهديد المتقدمة. فمن خلال تشغيل آلات لينكس افتراضية سرية داخل بيئات ويندوز مخترقة، يحصل المهاجمون على قاعدة عمليات سرية. ومعظم أدوات أمن نقاط النهاية لا تستطيع ببساطة رؤية ما يحدث داخل هذه الآلات الضيفة، ما يتيح للقراصنة تفريغ بيانات الاعتماد، ورسم خريطة Active Directory، وتهريب البيانات، والتحضير لهجمات برامج الفدية - كل ذلك دون ترك بصمات جنائية معتادة.
كشفت تحقيقات أجرتها شركة الأمن السيبراني Sophos عن اتجاه مقلق: حملات تحمل الاسمين STAC4713 وSTAC3725 تسلّح آلات QEMU الافتراضية لإنشاء أبواب خلفية دائمة. ففي STAC4713، المرتبطة بمجموعة GOLD ENCOUNTER سيئة السمعة وبرنامج الفدية PayoutsKing، يستخدم المهاجمون QEMU لإجراء أنفاق SSH سرية. وينشرون مهمة مجدولة - غالبًا ما تكون متنكرة باسم “TPMProfiler” - تطلق عملية QEMU تحت حساب SYSTEM، مُقلعة آلة Alpine Linux خفيفة محمّلة بأدوات اختراق. وباستخدام أنفاق SSH عكسية وأدوات مثل Rclone وChisel، يحصد المهاجمون بيانات الاعتماد بهدوء ويتحركون جانبيًا قبل إطلاق برامج الفدية.
يتبع STAC3725 نهجًا مشابهًا لكنه يبدأ باستغلال ثغرة CitrixBleed2، ثم يستخدم عميل ScreenConnect خبيثًا لتحقيق الاستمرارية. ويبني المهاجمون يدويًا مجموعة أدواتهم الهجومية داخل الآلة الافتراضية المخفية، مُشغّلين هجمات كسر كلمات مرور Kerberos بالقوة الغاشمة، وأداة BloodHound لرسم خرائط AD، وحتى أطرًا كلاسيكية مثل Metasploit - وكل ذلك محميًا من دفاعات المضيف. كما يضعفون أمن المضيف أكثر عبر العبث بإعدادات السجل، واستغلال برامج تشغيل ضعيفة، والتلاعب باستثناءات Defender.
ورغم أن الهجمات المعتمدة على QEMU ليست جديدة تمامًا، فإن ما تغيّر هو انضباط المهاجمين التشغيلي. فهم يجمعون الآن بين آلات افتراضية مخفية، وسرقة بيانات الاعتماد، وبرامج فدية تركز على طبقة المُشرف الافتراضي (Hypervisor) ضمن دليل إجراءات قابل للتكرار وشبه غير قابل للكشف. وبالنسبة للمدافعين، التحدي هائل: فالمراقبة التقليدية نادرًا ما تتحقق من وجود برمجيات افتراضية غير مصرح بها أو آلات افتراضية مخفية. كما أن استخدام المهاجمين لصور أقراص متنكرة - مثل ملفات .db أو .dll - يجعل الاكتشاف أكثر تعقيدًا. وأصبح الصيد الاستباقي للتهديدات بحثًا عن عمليات QEMU غير المعتادة، ومهام مجدولة مارقة، وأنفاق SSH صادرة غير متوقعة أمرًا أساسيًا للدفاع ضد هذه الظلال الافتراضية.
ومع “إحضار المهاجمين لمُشرفهم الافتراضي الخاص”، يزداد ضبابية الحد الفاصل بين عمليات تقنية المعلومات الشرعية والجريمة السيبرانية الخفية. ما الدرس للمدافعين؟ قد تكون كل آلة افتراضية حصنًا لخصمك - ما لم تكن تراقب عن كثب بما يكفي لترى ما وراء الوهم.
WIKICROOK
- QEMU: QEMU هو مُحاكي آلات مفتوح المصدر يتيح تشغيل آلات افتراضية، ويُستخدم كثيرًا في الأمن السيبراني لاختبار البرمجيات والبرامج الثابتة بأمان.
- نفق SSH عكسي: ينشئ نفق SSH عكسي اتصالًا مشفرًا صادرًا من نظام بعيد، ما يتيح الوصول عن بُعد حتى عبر الجدران النارية أو NAT.
- تفريغ بيانات الاعتماد: تفريغ بيانات الاعتماد هو قيام المهاجمين بسرقة أسماء المستخدمين وكلمات المرور من ذاكرة النظام للحصول على وصول غير مصرح به إلى الحسابات أو الشبكات.
- Active Directory (AD): Active Directory (AD) خدمة من مايكروسوفت تُركز إدارة وصول المستخدمين والمصادقة وسياسات الأمان عبر شبكات الحواسيب.
- الاستمرارية: تتضمن الاستمرارية تقنيات تستخدمها البرمجيات الخبيثة للبقاء بعد إعادة التشغيل والاختباء على الأنظمة، غالبًا عبر محاكاة عمليات أو تحديثات شرعية.
