هجوم سلسلة التوريد على DAEMON Tools: مثبّتات موقّعة رقمياً توزّع أبواباً خلفية لمدة شهر كامل

كشفت كاسبرسكي عن هجوم سلسلة توريد استهدف برنامج DAEMON Tools الشهير لإدارة الأقراص الافتراضية، حيث تم تلغيم المثبّتات الرسمية المُوقّعة بشهادات رقمية صالحة بأبواب خلفية متطورة منذ 8 أبريل 2026، واستمر التوزيع الخبيث لمدة شهر كامل قبل الاكتشاف — مما يكشف هشاشة نموذج الثقة القائم على التوقيع الرقمي الذي تعتمده أغلب المؤسسات.

تشريح الهجوم: كيف اخترق المهاجمون سلسلة البناء

اخترق المهاجمون — الذين تشير مؤشرات تقنية إلى أنهم ناطقون بالصينية — بيئة التطوير والبناء الخاصة بشركة Disc Soft المطوّرة لـ DAEMON Tools. الإصدارات المُصابة تراوحت بين 12.5.0.2421 و12.5.0.2434، وتم تلغيم ثلاثة ملفات تنفيذية تحديداً: DTHelper.exe وDiscSoftBusServiceLite.exe وDTShellHlp.exe. الخطير أن جميع هذه الملفات كانت موقّعة بشهادات AVB Disc Soft الرقمية الشرعية، مما يعني أن أنظمة الحماية التقليدية وفحوصات التوقيع الرقمي مرّرتها دون أي تنبيه.

آلية العمل: من التثبيت إلى التحكم الكامل

عند تشغيل أي من الملفات الثلاثة — وهو ما يحدث تلقائياً عند إقلاع النظام — يُنشَّط زرع خبيث يُرسل طلب HTTP GET إلى خادم القيادة والتحكم على النطاق env-check.daemontools[.]cc الذي سُجّل في 27 مارس 2026 تمهيداً للعملية. يستقبل الزرع أوامر Shell للتنفيذ، ثم يُنزّل حمولات إضافية تشمل: ملف envchk.exe (تطبيق .NET لجمع معلومات شاملة عن النظام)، وملفَي cdg.exe وcdg.tmp اللذين ينشران باباً خلفياً مُصغّراً يتصل بخادم بعيد لتنزيل ملفات وتنفيذ أوامر Shell وتشغيل Shellcode مباشرة في الذاكرة — مما يُصعّب اكتشافه بأدوات الحماية التقليدية.

نطاق الإصابة: آلاف الأجهزة في 100 دولة

رصدت كاسبرسكي عدة آلاف من محاولات الإصابة عبر بيانات القياس عن بُعد (Telemetry) في أكثر من 100 دولة. لكن اللافت أن المهاجمين انتقوا أهدافهم بدقة: من بين جميع الأجهزة المُصابة بالمرحلة الأولى، لم تُنشر الحمولات المتقدمة إلا على عشرات الأجهزة فقط تابعة لمؤسسات في قطاعات التجزئة والبحث العلمي والحكومات والتصنيع. هذا النمط الانتقائي يحمل بصمة عمليات التجسس السيبراني المتقدمة (APT) وليس هجمات الجريمة الإلكترونية العشوائية.

لماذا يجب أن تقلق المؤسسات المالية السعودية

هجمات سلسلة التوريد تُمثّل تهديداً وجودياً للقطاع المالي السعودي لعدة أسباب. أولاً، إطار SAMA CSCC في نطاق التحكم 3.3.7 يُلزم المؤسسات بإدارة مخاطر سلسلة التوريد التقنية وتقييم مورّديها — لكن كم مؤسسة تُراجع فعلياً سلامة مثبّتات البرمجيات المُوقّعة رقمياً؟ ثانياً، ضوابط NCA ECC في المجال الفرعي 2-6 تفرض متطلبات صريحة لأمن سلسلة التوريد وتقييم المخاطر المرتبطة بالموردين والمنتجات التقنية. ثالثاً، التوقيع الرقمي الصالح يتجاوز سياسات القوائم البيضاء (Application Whitelisting) المُطبّقة في كثير من البنوك والمؤسسات المالية، مما يعني أن هذا النوع من الهجمات يُبطل طبقة حماية رئيسية. أضف إلى ذلك أن متطلبات نظام PDPL لحماية البيانات الشخصية تُحمّل المؤسسة مسؤولية أي تسريب ناتج عن برمجية طرف ثالث مُخترقة.

التوصيات والخطوات العملية

1. فحص فوري للأنظمة: ابحث في بيئتك عن إصدارات DAEMON Tools بين 12.5.0.2421 و12.5.0.2434، وافحص أي اتصالات مع النطاق env-check.daemontools[.]cc عبر سجلات DNS وProxy. حدّث فوراً إلى الإصدار 12.6 أو أزل البرنامج.
2. تعزيز مراقبة سلسلة التوريد: لا تعتمد على التوقيع الرقمي وحده. طبّق Software Bill of Materials (SBOM) لجميع البرمجيات المُستخدمة، واستخدم حلول EDR متقدمة تراقب سلوك العمليات بغض النظر عن حالة التوقيع.
3. مراجعة سياسات القوائم البيضاء: أضف طبقة مراقبة سلوكية فوق التحقق من التوقيع الرقمي. البرمجيات الموقّعة التي تتصل بنطاقات مُسجّلة حديثاً أو تُنفّذ Shellcode في الذاكرة يجب أن تُطلق تنبيهاً.
4. تقييم مخاطر الموردين: حدّث تقييمات مخاطر الموردين وفق SAMA CSCC 3.3.7 لتشمل سيناريوهات اختراق بيئة البناء وتلغيم المثبّتات الرسمية.
5. تفعيل مراقبة DNS: راقب استعلامات DNS لاكتشاف الاتصال بنطاقات C2 حديثة التسجيل. أي نطاق مُسجّل قبل أقل من 30 يوماً يتصل به تطبيق مؤسسي يستحق التحقيق الفوري.
6. تدريب فرق SOC: درّب محللي مركز العمليات الأمنية على تقنيات Living-off-the-Land واستغلال البرمجيات الشرعية، لأن هجمات سلسلة التوريد تتجاوز أنماط الكشف التقليدية.

الخلاصة

هجوم DAEMON Tools يُذكّرنا بأن التوقيع الرقمي لم يعد ضماناً كافياً للثقة. المهاجمون المتقدمون يخترقون سلسلة البناء ذاتها ويُوقّعون برمجياتهم الخبيثة بشهادات المطوّر الأصلي. المؤسسات المالية السعودية — التي تعتمد على عشرات البرمجيات من أطراف ثالثة — تحتاج إلى نقلة نوعية في مراقبة سلسلة التوريد تتجاوز الفحص التقليدي إلى المراقبة السلوكية المستمرة وتحليل SBOM وصيد التهديدات الاستباقي.

هل مؤسستك مستعدة لمواجهة هجمات سلسلة التوريد؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وتقييم شامل لمخاطر سلسلة التوريد التقنية.