CPUID وSTX RAT: حين تتحول أداة مراقبة الخوادم إلى باب خلفي في شبكة مؤسستك المالية

في الفترة الممتدة بين 9 و10 أبريل 2026، اخترق مهاجمون مجهولون موقع CPUID — المزود الرسمي لأدوات مراقبة الأجهزة الشهيرة CPU-Z وHWMonitor — واستبدلوا روابط التنزيل بنسخ مُعدَّلة تحمل حصان طروادة للوصول عن بُعد يُعرف بـ STX RAT. لم تتجاوز نافذة الاختراق 19 ساعة، لكنها كافت لإصابة أكثر من 150 مستخدمًا وربما فتح مداخل خلفية في شبكات مؤسسات لم تعلم بعد أنها اختُرقت.

كيف جرى الهجوم: تفاصيل تقنية يجب أن يعرفها كل CISO

الأسلوب المستخدم في هذا الهجوم يُعرف بـ "Watering Hole" — إذ يستهدف المهاجمون موقعًا موثوقًا تزوره فئة محددة من الضحايا بانتظام، بدلًا من ملاحقة كل هدف على حدة. بمجرد تنزيل النسخة المُخترَقة من HWMonitor أو CPU-Z، يُنفَّذ ملف DLL خبيث يُسمى cryptbase.dll عبر تقنية "DLL Sideloading"، إذ يتم تحميله تلقائيًا إلى جانب التطبيق الشرعي. يُطلق هذا الملف سلسلة هجومية متعددة المراحل: فك تشفير XOR، وتحميل PE انعكاسي في الذاكرة عبر خمس مراحل متتالية، دون أن يُكتب أي شيء على القرص الصلب — مما يجعل اكتشافه صعبًا بالأدوات التقليدية.

بعد الاستقرار في الذاكرة، يُنشئ STX RAT اتصالًا بخوادم C2 ويمنح المهاجم صلاحيات واسعة: تنفيذ ملفات EXE وDLL وPowerShell وshellcode مباشرةً في الذاكرة، إنشاء نفق عكسي (Reverse Proxy) للتحرك داخل الشبكة، والتحكم الكامل في سطح المكتب. ذات الأسلوب وذات نطاقات C2 استُخدمت سابقًا في هجمات عبر مثبِّتات FileZilla مزيفة، مما يُرجِّح إسناد الهجوم إلى جهة ناطقة بالروسية تعمل إما بدوافع مالية أو كوسيط وصول أولي (Initial Access Broker).

لماذا يُمثّل هذا تهديدًا مباشرًا للمؤسسات المالية السعودية؟

CPU-Z وHWMonitor ليستا أدوات للمستخدمين العاديين فحسب — بل يستخدمهما مسؤولو IT وفرق البنية التحتية في مؤسسات مالية كبرى حول العالم لمراقبة درجات حرارة المعالجات وأداء الذاكرة في الخوادم والأجهزة الطرفية. مسؤول IT في بنك سعودي حمَّل HWMonitor خلال تلك النافذة الزمنية قد يكون أعطى المهاجم موطئ قدم في بيئة حساسة للغاية. النقطة الأكثر إثارة للقلق: معظم حلول الكشف والاستجابة (EDR) لن تُنبّه على هذا التهديد لأن الكود يعمل في الذاكرة تمامًا دون أثر على الملفات.

المهاجم الذي يعمل كـ Initial Access Broker قد يبيع هذا الوصول لمجموعات برمجيات الفدية أو جهات تجسس، مما يجعل التهديد أكثر خطورة على قطاع مالي يحتفظ ببيانات عملاء وبيانات معاملات حساسة.

التأثير على المؤسسات المالية السعودية وإطار SAMA وNCA

هذا النوع من الهجمات يتقاطع مباشرةً مع متطلبات تنظيمية محددة. إطار SAMA CSCC في المجال الخامس (أمن الطرف الثالث) يُلزم المؤسسات المالية بالتحقق من سلامة البرمجيات المُستخدمة وتقييم مخاطر الموردين الخارجيين — بما يشمل أدوات مراقبة الأجهزة. من جهتها، تشترط ضوابط NCA ECC في القسم 3-3 (حماية الأصول) وجود آليات للكشف عن التعديلات غير المصرح بها في الملفات القابلة للتنفيذ قبل تشغيلها. كلا الإطارين يتطلبان وجود برنامج للتوعية يُعرِّف الفرق التقنية بمخاطر تنزيل البرمجيات من مصادر خارجية حتى لو كانت "موثوقة" تاريخيًا.

من منظور PDPL، إذا تمكّن المهاجم من الوصول إلى بيانات عملاء عبر هذه الثغرة، فإن المؤسسة ملزمة بالإفصاح وفق آليات الإبلاغ المحددة في اللائحة — وهو ما يُضيف ضغطًا تنظيميًا فوق الضغط التشغيلي.

التوصيات والخطوات العملية العاجلة

1. جرد فوري: حدد جميع أجهزة IT التي تشغّل CPU-Z أو HWMonitor أو أي أداة CPUID أخرى. تحقق من تواريخ التثبيت — أي نسخة مُثبَّتة بين 9 و10 أبريل 2026 (UTC) مشبوهة حتى يثبت العكس.
2. فحص الذاكرة: استخدم أدوات تحليل الذاكرة المتخصصة مثل Volatility أو Process Hacker للبحث عن عمليات مشبوهة تُحمَّل من الذاكرة دون ملفات مرتبطة على القرص.
3. مراجعة حركة C2: تحقق من سجلات DNS وجدران الحماية بحثًا عن اتصالات بالنطاقات المرتبطة بـ STX RAT (منشورة في تحليل Cyderes). يجب أن يبحث فريق SOC عن أنماط IPv6-encoded في طلبات DNS.
4. تطبيق سياسة التحقق من التوقيع الرقمي: لا تسمح بتشغيل أي ملف تنفيذي على أجهزة المؤسسة دون التحقق من توقيعه الرقمي ومصدره. أدوات مراقبة الأجهزة ليست استثناءً.
5. تحديث قائمة البرمجيات المعتمدة: راجع قائمة التطبيقات المسموح بها (Application Whitelist) وقيّد تنزيل البرمجيات خارج القنوات المعتمدة رسميًا من قِبَل فريق IT.
6. إبلاغ فريق الاستجابة للحوادث: إذا اكتشفت أي أثر للإصابة، فعِّل خطة الاستجابة للحوادث فورًا وابدأ بعزل الأجهزة المصابة قبل أي إجراء آخر.

الخلاصة

يُعيد هجوم CPUID/STX RAT تذكيرنا بحقيقة يعرفها المتخصصون لكن يتجاهلها كثيرون: الثقة في مصدر البرمجيات لا تعني الثقة في كل إصدار يصدر منه. المهاجمون المحترفون يستهدفون حلقات الثقة هذه بدقة — واختراق موقع لأداة يثق بها مسؤول IT يُمثّل طريقًا سهلًا للولوج إلى بيئات محمية بجدران حماية وأنظمة EDR ومصادقة متعددة العوامل. في قطاع مالي خاضع لرقابة SAMA وNCA، لا يمكن اعتبار هذا المستوى من الوعي الأمني اختياريًا.

هل مؤسستك مستعدة لاكتشاف هجمات سلسلة التوريد قبل أن تتجذّر؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وNCA ECC، يشمل مراجعة إجراءات أمن سلسلة التوريد لديك.