شارك

تطور خطير: برمجية Payouts King الخبيثة تستغل QEMU لتجاوز أقوى الأنظمة الدفاعية

فريق جلتش١٨ أبريل ٢٠٢٦0 مشاهدة4 دقائق
شارك
تطور خطير: برمجية Payouts King الخبيثة تستغل QEMU لتجاوز أقوى الأنظمة الدفاعية

"عصابة Payouts King تستخدم محاكي QEMU كبوابة خلفية لتشغيل أجهزة افتراضية مخفية، مما يسمح لها بتشفير البيانات وتجاوز أنظمة الحماية (EDR) دون اكتشافها."

مقدمة تحليلية

في تطور نوعي يبرز مدى تعقيد الهجمات السيبرانية الحديثة، ظهرت عصابة برمجيات الفدية المعروفة باسم 'Payouts King' بأسلوب مبتكر يعيد صياغة مفهوم 'التخفي' داخل الأنظمة المخترقة. لا تعتمد هذه المجموعة على مجرد تشفير الملفات عبر برامج تنفيذية تقليدية، بل تستخدم تقنية المحاكاة (Emulation) عبر أداة QEMU الشهيرة لخلق بيئة معزولة تماماً عن رقابة أنظمة الحماية التقليدية (Endpoint Security). هذا النوع من الهجمات يمثل ذروة تقنيات 'العيش خارج الأرض' (Living off the Land)، حيث يتم استغلال أدوات شرعية لأغراض تخريبية.

تكمن الخطورة الفائقة في هذا النهج في قدرته على تضليل أنظمة اكتشاف التهديدات والاستجابة لها (EDR) وبرامج مكافحة الفيروسات (AV). فبينما تراقب هذه البرامج العمليات الجارية على نظام التشغيل المضيف (Host OS)، تعمل برمجية Payouts King داخل نظام تشغيل ضيف (Guest OS) افتراضي بالكامل، مما يجعل نشاطها غير مرئي للعين الأمنية التقليدية. يمثل هذا التهديد تحولاً من استهداف التطبيقات إلى استهداف طبقة الـ Hypervisor أو المحاكاة، مما يضع المؤسسات أمام تحدٍ أمني غير مسبوق يتطلب إعادة النظر في استراتيجيات الدفاع السيبراني.

التحليل التقني

تعتمد برمجية Payouts King في جوهرها على أداة QEMU، وهي محاكي أجهزة مفتوح المصدر ومصمم للعمل على منصات متعددة. تبدأ العملية عادةً باختراق أولي للنظام، يتبعه تحميل نسخة مخففة من QEMU مدمجة بداخلها ملفات النظام اللازمة لتشغيل جهاز افتراضي (VM) كامل. إليك التفاصيل التقنية الدقيقة لهذه العملية:

  • نفق SSH العكسي (Reverse SSH Tunneling): يقوم المهاجمون بإعداد QEMU ليعمل كبوابة خلفية تعتمد على بروتوكول SSH. يتيح ذلك للمهاجمين الوصول عن بعد إلى الجهاز المصاب عبر نفق مشفر يتجاوز جدران الحماية التقليدية التي غالباً ما تسمح بحركة مرور SSH الصادرة.
  • تشغيل الأجهزة الافتراضية المخفية: يتم إطلاق QEMU بمعاملات محددة (مثل -nographic) لضمان عدم ظهور أي واجهة رسومية للمستخدم الضحية، مما يجعل الجهاز الافتراضي يعمل 'في الخلفية' بصمت تام.
  • عزل العمليات: داخل هذا الجهاز الافتراضي، يتم تنفيذ كود التشفير الخاص بفدية Payouts King. وبما أن الـ EDR مثبت على الجهاز المضيف، فإنه لا يمتلك الصلاحية أو القدرة التقنية لفحص الذاكرة العشوائية (RAM) أو العمليات الجارية داخل الـ VM، مما يسمح للمهاجمين بتنفيذ عملياتهم بحرية.
  • الوصول إلى ملفات المضيف: يتم ربط مجلدات الجهاز المضيف بالجهاز الافتراضي عبر ميزات مشاركة الملفات مثل (VirtFS) أو بروتوكول (SMB)، مما يسمح للبرمجية الخبيثة بتشفير البيانات الموجودة على 'الجهاز الحقيقي' من داخل 'الجهاز الوهمي'.

هذا المزيج بين المحاكاة والأنفاق المشفرة يخلق 'صندوقاً أسود' أمنياً، حيث يرى مسؤولو النظام عملية QEMU شرعية تستهلك بعض الموارد، لكنهم لا يدركون أن هذه العملية هي في الواقع نظام تشغيل كامل يتم التحكم به من قبل عصابة فدية لتدمير البيانات.

السياق وتأثير السوق

تاريخياً، شهدنا محاولات مماثلة من مجموعات مثل 'LockBit' و 'BlackCat/ALPHV' لاستخدام أدوات مثل VirtualBox أو VMware لأغراض مماثلة، لكن استخدام QEMU يمنح Payouts King ميزة إضافية تتمثل في صغر حجم الأداة وقدرتها العالية على التخصيص وسهولة دمجها في السكربتات البرمجية. في سوق الجريمة السيبرانية، تُباع هذه التكتيكات كـ 'خدمات' (Ransomware-as-a-Service)، مما يعني أننا قد نرى انفجاراً في استخدام هذه التقنية من قبل مجموعات أقل مهارة تقنياً.

أما من الناحية السوقية، فإن هذا الهجوم يضغط على شركات الأمن السيبراني (مثل CrowdStrike و SentinelOne و Microsoft) لتطوير حلول قادرة على فحص حركة المرور داخل المحاكيات وأدوات الـ Virtualization. الشركات التي تعتمد بشكل حصري على فحص العمليات (Process Monitoring) ستجد نفسها خارج المنافسة، بينما ستبرز الحلول التي تركز على 'تحليل سلوك الشبكة' و'فحص الذاكرة العميقة'. التكلفة الاقتصادية لمثل هذه الهجمات تتضاعف، لأن اكتشافها يستغرق وقتاً أطول بكثير (Dwell Time)، مما يمنح المهاجمين فرصة أكبر لسحب البيانات وتشفيرها بالكامل قبل إطلاق أي إنذار.

رؤية Glitch4Techs

من منظورنا التقني في Glitch4Techs، نرى أن ظهور Payouts King هو جرس إنذار حقيقي لنهاية عصر 'الأمن المعتمد على المضيف' (Host-centric Security). لا يمكننا بعد الآن الافتراض بأن ما نراه في قائمة العمليات (Task Manager) هو كل ما يحدث في الجهاز. التوصيات التي نطرحها لمواجهة هذا النوع من التهديدات تتجاوز مجرد تحديث مضاد الفيروسات:

  • تقييد أدوات المحاكاة: يجب على المؤسسات منع تشغيل أي برامج محاكاة مثل QEMU أو VirtualBox على أجهزة الموظفين إلا في حالات الضرورة القصوى وبتصريح خاص.
  • مراقبة بروتوكول SSH: يجب مراقبة أي حركة مرور SSH غير معتادة، خاصة تلك المتجهة إلى عناوين IP خارجية غير معروفة، واعتبارها تهديداً محتملاً عالي الخطورة.
  • الأمن على مستوى الشبكة: بما أن البرمجية تختبئ داخل VM، فإن سلوكها على الشبكة (مثل المسح الضوئي للمجلدات المشتركة) يظل مرئياً. لذا، فإن الاستثمار في أنظمة NDR (Network Detection and Response) أصبح ضرورة لا غنى عنها.

في النهاية، Payouts King ليست مجرد برمجية فدية أخرى، بل هي دليل على أن المهاجمين بدأوا يفكرون 'خارج النظام'. المستقبل الأمني سينتمي لأولئك الذين يستطيعون تأمين الطبقات الدنيا من العتاد والبرمجيات الافتراضية، وليس فقط واجهات المستخدم.”

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.