هجوم سلسلة التوريد على DAEMON Tools: برمجيات خبيثة موقّعة رقمياً تخترق آلاف المؤسسات في 100 دولة

كشفت Kaspersky في مايو 2026 عن واحد من أخطر هجمات سلسلة التوريد البرمجية هذا العام: ملفات التثبيت الرسمية لبرنامج DAEMON Tools Lite على نظام Windows كانت تحمل أبواباً خلفية متطورة منذ 8 أبريل 2026، موقّعة بشهادات رقمية شرعية تعود للمطوّر الأصلي، مما جعل اكتشافها شبه مستحيل بالأدوات التقليدية. الهجوم أصاب آلاف الأجهزة في أكثر من 100 دولة خلال شهر كامل قبل اكتشافه.

تشريح الهجوم: كيف تحوّل برنامج شرعي إلى سلاح سيبراني

استهدف المهاجمون الإصدارات من 12.5.0.2421 إلى 12.5.0.2434 من DAEMON Tools Lite المجاني، وهو برنامج واسع الانتشار لإنشاء الأقراص الافتراضية يستخدمه ملايين المستخدمين حول العالم. الخطير في هذا الهجوم أن الملفات المُعدَّلة كانت تُوزَّع مباشرة من الموقع الرسمي للبرنامج وموقّعة بشهادات المطوّر الأصلية، مما يعني أن أنظمة الحماية التقليدية — بما فيها حلول EDR التي تعتمد على التوقيعات الرقمية كمؤشر ثقة — لم تُصدر أي تنبيه.

تم التلاعب بثلاثة ملفات تنفيذية أساسية داخل حزمة التثبيت: DTHelper.exe وDiscSoftBusServiceLite.exe وDTShellHlp.exe. البرمجية الخبيثة المزروعة تدعم بروتوكولات اتصال متعددة مع خوادم القيادة والسيطرة (C2) تشمل HTTP وUDP وTCP وWSS وQUIC وDNS وHTTP/3، مما يمنحها مرونة استثنائية في تجاوز جدران الحماية وأنظمة فحص حركة الشبكة. كما تمتلك القدرة على حقن حمولات خبيثة في عمليات نظام شرعية مثل notepad.exe وconhost.exe لتفادي الرصد السلوكي.

الجهة المنفذة ونطاق الاستهداف

تشير الأدلة التقنية التي حللتها Kaspersky إلى أن الهجوم من تنفيذ مجموعة تتحدث الصينية، استناداً إلى تحليل المؤشرات والأدوات المستخدمة، لكن لم يُنسب الهجوم رسمياً لأي مجموعة APT معروفة حتى الآن. الأهداف شملت قطاعات حكومية وعلمية وصناعية، وفقاً لتقرير Kaspersky وSecurityWeek، مع رصد آلاف محاولات الإصابة عبر القياس عن بُعد (telemetry) في أكثر من 100 دولة.

الإصدار 12.6 الذي صدر في 5 مايو 2026 لا يحتوي على الملفات المخترقة، لكن أي جهاز ثبّت الإصدارات المتأثرة بين 8 أبريل و5 مايو يجب اعتباره مخترقاً ويحتاج إلى فحص جنائي رقمي كامل.

لماذا تمثّل هجمات سلسلة التوريد الموقّعة رقمياً تهديداً وجودياً

هذا الهجوم يُعيد تأكيد حقيقة مقلقة: الشهادات الرقمية لم تعد ضمانة أمان. عندما يتمكن المهاجم من التلاعب بملفات التثبيت على الموقع الرسمي مع الحفاظ على التوقيع الرقمي الشرعي، تنهار طبقة الثقة الأساسية التي تعتمد عليها معظم حلول الحماية. هجوم DAEMON Tools ينضم إلى سلسلة هجمات مشابهة شهدها 2026 استهدفت eScan وNotepad++ وCPUID، مما يؤكد أن هجمات سلسلة التوريد البرمجية أصبحت الخيار المفضّل للمجموعات المتقدمة.

بالنسبة للمؤسسات المالية، الخطر مضاعف: فريق تقنية المعلومات قد يستخدم أدوات مثل DAEMON Tools في بيئات الاختبار أو محطات العمل الشخصية دون أن تمر عبر قنوات التوريد المعتمدة، مما يفتح ثغرة في نطاق التغطية الأمنية.

التأثير على المؤسسات المالية السعودية ومتطلبات الامتثال

يفرض إطار SAMA CSCC في النطاق 3.3 (Third-Party Security Management) على المؤسسات المالية إدارة مخاطر الأطراف الثالثة بما يشمل البرمجيات المستخدمة داخلياً. هجوم DAEMON Tools يكشف فجوة شائعة: كثير من المؤسسات تركّز على تقييم مخاطر مزوّدي الخدمات السحابية والأنظمة الحرجة، لكنها تتجاهل الأدوات المساعدة التي يثبّتها الموظفون على أجهزتهم.

كذلك يُلزم إطار NCA ECC في ضوابط إدارة البرمجيات (Software Asset Management) بالحفاظ على جرد محدّث لجميع البرمجيات المثبتة والتحقق من سلامتها. أما نظام PDPL فيُحمّل المؤسسة مسؤولية حماية البيانات الشخصية حتى لو كان الاختراق ناتجاً عن برمجية طرف ثالث، مما يعني أن الإصابة بباب خلفي عبر أداة مساعدة لا يُعفي المؤسسة من المساءلة التنظيمية.

التوصيات والخطوات العملية

1. فحص فوري للأجهزة: استخدم مؤشرات الاختراق (IOCs) التي نشرتها Kaspersky للبحث عن الإصدارات المتأثرة (12.5.0.2421 إلى 12.5.0.2434) في بيئتك. ابحث عن اتصالات C2 غير معتادة عبر بروتوكولات QUIC وHTTP/3.
2. تطبيق سياسة القوائم البيضاء للبرمجيات (Application Whitelisting): لا تعتمد فقط على التوقيعات الرقمية. استخدم حلول مثل AppLocker أو CrowdStrike Falcon مع قواعد تجزئة (hash-based rules) للتحقق من سلامة كل ملف تنفيذي.
3. تفعيل مراقبة سلوك العمليات (Process Behavior Monitoring): راقب عمليات الحقن في notepad.exe وconhost.exe، وهي تقنية التمويه التي استخدمها هذا الهجوم تحديداً.
4. مراجعة جرد البرمجيات: أجرِ مسحاً شاملاً لجميع الأجهزة لتحديد البرمجيات غير المعتمدة رسمياً (Shadow IT)، وطبّق ضوابط NCA ECC لإدارة الأصول البرمجية.
5. تحديث خطة الاستجابة للحوادث: أضف سيناريو اختراق سلسلة التوريد البرمجية إلى خطة الاستجابة، مع إجراءات عزل محددة للأجهزة المصابة وتحليل جنائي رقمي للنطاق الكامل.
6. تعزيز رصد الشبكة: أضف قواعد في SIEM وNDR لرصد اتصالات C2 عبر البروتوكولات غير المعتادة مثل DNS tunneling وQUIC وHTTP/3 التي استخدمها هذا الهجوم.

الخلاصة

هجوم DAEMON Tools يمثّل نموذجاً متقدماً لهجمات سلسلة التوريد حيث يُستغل ثقة المستخدم في المصدر الرسمي والتوقيع الرقمي الشرعي. المؤسسات التي تعتمد فقط على آليات الثقة التقليدية — كالتوقيعات الرقمية وسمعة المورّد — تترك نفسها مكشوفة أمام هذا النوع من التهديدات. بناء دفاع فعّال يتطلب نهج Zero Trust يشمل كل طبقة من طبقات البنية التحتية، بما فيها البرمجيات المساعدة التي غالباً ما تُهمَل.

هل مؤسستك مستعدة لمواجهة هجمات سلسلة التوريد البرمجية؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وتحليل مخاطر الأطراف الثالثة.