لماذا لا تزال الهجمات التي تستهدف شبكة LNK تفلت من الرقابة
في أواخر عام 2025، نشرت شركة Arctic Wolf Labs بحثًا حول حملة تجسس استهدفت جهات دبلوماسية في بلجيكا والمجر ودول أوروبية أخرى. واستخدمت الجهة المهددة، وهي مجموعة مرتبطة بالصين تُعرف باسم UNC6384، رسائل بريد إلكتروني للتصيد الموجه (spearphishing) لنشر ملفات اختصارات Windows المُعدة للاستخدام كأسلحة، أو ما يُعرف بملفات LNK، والتي كانت تتخذ من اجتماعات المفوضية الأوروبية وورش العمل المتعلقة بحلف الناتو موضوعًا لها.
عندما ينقر المستلم على الاختصار، يقوم أمر PowerShell مخفي بتشغيل سلسلة إصابة متعددة المراحل تؤدي في النهاية إلى توزيع حصان طروادة PlugX للوصول عن بُعد. استغلت الحملة الثغرة الأمنية ZDI-CAN-25373، وهي ثغرة في اختصارات Windows تم الكشف عنها في مارس 2025، والتي تتيح تنفيذ الأوامر سراً عن طريق إخفائها خلف حشو المسافات البيضاء في معلمات سطر الأوامر لملف LNK.
وقد كان استخدام UNC6384 لهذه الملفات بمثابة تذكير بمشكلة أوسع نطاقاً: لا تزال ملفات الاختصارات تبدو عادية بالنسبة للمستخدمين، وغالباً ما تخضع لرقابة أقل مقارنة بالملفات التنفيذية أو المستندات التي تدعم الماكرو. وبمجرد تشغيل ملف LNK ضار، غالباً ما تتكشف أخطر الأنشطة أثناء وقت التشغيل من خلال البرامج النصية المشفرة، والأرشيفات المرحلية، وإساءة استخدام الملفات الثنائية الموقعة، حيث قد تجد عمليات الفحص الثابتة وفحوصات السمعة صعوبة في مواكبة ذلك.
ولم تتوقف الحملة عن التطور منذ ذلك الحين. ففي أبريل 2026، أفاد موقع «The Hacker News» بأن مجموعة التهديدات نفسها، المعروفة في أوساط القطاع باسم TA416، قد استأنفت استهداف المؤسسات الحكومية والدبلوماسية الأوروبية منذ منتصف عام 2025 فصاعدًا، مستخدمةً أساليب جديدة لتوصيل البرمجيات الخبيثة، بما في ذلك استغلال إعادة التوجيه عبر OAuth، وصفحات التحدي الخاصة بـ Cloudflare Turnstile، والتنفيذ القائم على MSBuild، مع الاستمرار في تحديث حمولتها من PlugX.
تستعرض الدراسة التي أجرتها شركة Arctic Wolf في هذا المقال إحدى مراحل عملية مستمرة وموثقة حالياً، وتوضح كيف تعمل تقنيتا MetaDefender وDeep CDR™ معاً على سد الفجوة بين الكشف والوقاية.
سلسلة هجمات UNC6384
بدأ الأمر بملف لم يكن ليشك فيه معظم المستخدمين أبدًا. كان حجم ملف LNK الذي تم توزيعه في هذه الحملة، والمسمى "Agenda_Meeting 26 Sep Brussels.lnk"، لا يتجاوز 2.58 كيلوبايت، وكان يشير إلى اجتماع حقيقي عقدته المفوضية الأوروبية حول تسهيل حرية حركة البضائع عند نقاط العبور الحدودية بين الاتحاد الأوروبي ودول البلقان الغربية. كانت هذه أجندة حقيقية لحدث حقيقي، مع اختصار بدا عاديًا.
المرحلة الأولى: الوصول الأولي عبر ملف LNK ضار
عندما نقر المستلم مرتين على الاختصار، تم تشغيل PowerShell في الخلفية باستخدام أمر مشفر قام بفك تشفير واستخراج أرشيف tar (rjnlzlkfe.ta) إلى دليل Temp المحلي الخاص بالمستخدم. ثم استخدم أمر PowerShell برنامج tar.exe لفك ضغط الأرشيف وتشغيل محتوياته، مع فتح ملف PDF وهمي في الوقت نفسه يعرض جدول أعمال الاجتماع الفعلي. ورأى الضحية مستندًا. وتمكن المهاجم من تنفيذ التعليمات البرمجية.
المرحلة الثانية: تحميل ملفات DLL بشكل جانبي عبر ملف ثنائي شرعي وموقع
احتوى الأرشيف الذي تم استخراجه على ثلاثة ملفات: cnmpaui.exe و cnmpaui.dll و cnmplog.dat. الملف الأول هو أداة مساعدة شرعية لطابعة Canon، موقعة رقمياً من قِبل شركة Canon Inc. بشهادة صادرة عن شركة Symantec. التوقيع صالح لأنه تم توقيعه زمنياً في الوقت الذي كانت فيه الشهادة لا تزال سارية المفعول، مما يعني أن نظام Windows لا يزال يثق في الملف الثنائي على الرغم من انتهاء صلاحية الشهادة نفسها في عام 2018 (Arctic Wolf).
وهنا تكمن أهمية الدقة. ملف EXE ليس ضارًا. إنه أداة مساعدة حقيقية من Canon يتم استغلالها لغرض محدد: فعندما يتم تشغيل ملف cnmpaui.exe، يبحث عن ملف cnmpaui.dll في الدليل الخاص به قبل التحقق من مسارات النظام. ومن خلال زرع ملف DLL ضار يحمل الاسم نفسه بجانب الملف الثنائي الشرعي، استطاع UNC6384 اختراق ترتيب البحث هذا وتحميل شفرته الخاصة داخل عملية موثوقة.
المرحلة الثالثة: فك تشفير الحمولة وتنفيذ PlugX
ملف cnmpaui.dll الخبيث هو مُحمل خفيف الحجم، لا يتجاوز حجمه 4 كيلوبايت في الإصدار الصادر في أكتوبر 2025، وهو مصمم لغرض واحد فقط: فك تشفير الملف الثالث cnmplog.dat وتنفيذه. ويُعد هذا الملف كتلة بيانات مُشفَّرة باستخدام خوارزمية RC4 تحتوي على حصان طروادة PlugX للوصول عن بُعد. يقوم المحمل بفك تشفيره باستخدام مفتاح مدمج مكون من 16 بايت ويقوم بتعيين الحمولة الناتجة مباشرةً في مساحة ذاكرة عملية cnmpaui.exe الشرعية.
منذ تلك اللحظة فصاعدًا، يعمل PlugX داخل ملف ثنائي موقّع وموثوق به. ويحقق الاستمرارية من خلال مفتاح تشغيل في السجل باسم "CanonPrinter"، ويُنشئ دلائل مخفية بأسماء مثل "SamsungDriver" أو "DellSetupFiles" للاندماج في البيئة، ويتواصل مع البنية التحتية للقيادة والتحكم عبر HTTPS على المنفذ 443، مستخدمًا مسارات URL عشوائية وسلسلة وكيل مستخدم مزيفة لـ Internet Explorer للاندماج مع حركة مرور الويب العادية.
من النقرة الأولى وحتى تفعيل الباب الخلفي، لم يبدُ أي شيء في هذه السلسلة ضارًا بشكل واضح للوهلة الأولى، ولم تظهر معظم السلوكيات المشبوهة حقًا إلا أثناء وقت التشغيل. وقد صُممت كل مرحلة بحيث تبدو طبيعية عند الفحص الثابت، وتُنفَّذ في الأماكن التي لا تراقبها المرشحات التقليدية.
لماذا تواجه الدفاعات الثابتة صعوبات في التعامل مع هذه السلسلة
تواجه الدفاعات الثابتة صعوبة في التعامل مع هذه السلسلة لأن كل مرحلة مصممة بحيث تبدو مقبولة عند النظر إليها بمعزل عن غيرها. وما يجعل الحملة فعالة ليس ملفًا واحدًا خبيثًا بشكل واضح، بل سلسلة من المكونات التي تبدو موثوقة ولا يتضح هدفها الحقيقي إلا عند تشغيلها. ولا يقتصر هذا النمط على ملفات الاختصارات فحسب: فقد قام المهاجمون أيضًا بإخفاء الحمولات الخبيثة في ملفات صور تبدو بريئة، وربطوها بنظام توزيع قائم على ملفات LNK للتحايل على أنظمة الكشف التقليدية لمكافحة الفيروسات.
لماذا تواجه الدفاعات الثابتة صعوبات في التعامل مع هذه السلسلة
| المرحلة | ما يراه المدافع | لماذا يجتاز الفحص |
|---|---|---|
| ملف LNK ضار | ملف اختصار بحجم 2.58 كيلوبايت يشير إلى اجتماع دبلوماسي | تُعتبر ملفات LNK منخفضة المخاطر بشكل افتراضي؛ حيث يُخفي ZDI-CAN-25373 أمر PowerShell خلف حشو من المسافات البيضاء التي لا تقوم معظم أدوات فحص البيانات الوصفية بتحليلها. |
| موقع من Canon EXE | ملف ثنائي PE32 أصلي يحمل توقيعًا رقميًا صالحًا ومؤرخًا من ناشر معترف به | إن حظره سيؤدي إلى وضع علامة على كل بيئة تعمل ببرنامج طابعة Canon. ولا يوجد ما يدعو محركات تقييم السمعة إلى عدم الثقة به. |
| ملف DLL لمُحمل بحجم 4 كيلوبايت | ملف DLL صغير الحجم لا يحتوي على أي استيرادات تبدو مشبوهة، وتقتصر مهمته على القراءة وفك التشفير وتسليم عملية التنفيذ | يمكن لقواعد YARA اكتشاف المتغيرات المعروفة، لكن المحمل المعاد تجميعه باستخدام مفتاح مختلف أو إجراء فك تشفير مختلف يتسلل عبر التغطية الثابتة. |
| حمولة PlugX المشفرة | كتلة بيانات .dat غير شفافة لا تلامس القرص أبدًا في شكلها المفكوك التشفير | لا يقوم الفحص القائم على الملفات أبدًا بفحص البرمجيات الخبيثة نفسها. بل يتم تحميل الحمولة مباشرةً في مساحة ذاكرة عملية Canon الموثوقة. |
تلك الفجوة بين ما أدوات الثابتة فحصه وما يحدث فعليًا أثناء وقت التشغيل هي المكان الذي تزدهر فيه الحملات المراوغة. ويتطلب سد هذه الفجوة اتباع نهج للكشف قادر على مراقبة مسار التنفيذ بالكامل، بدءًا من التشغيل الأولي للملف وصولاً إلى كل مرحلة لاحقة، وإصدار حكم بناءً على السلوك بدلاً من المظهر.
كيف يكشف MetaDefender السلسلة بأكملها
MetaDefender هو الحل الموحد OPSWAT للكشف عن الثغرات الأمنية في يومها الأول، حيث يجمع بين أربع طبقات من التحليل لفحص كل ملف من زوايا متعددة قبل إصدار نتيجة موثوقة واحدة.
- تقوم عملية تقييم سمعة التهديدات بمقارنة التجزئات والبيانات الوصفية والمؤشرات المضمنة في الملف مع قاعدة بيانات استخباراتية عالمية تضم أكثر من 50 مليار مؤشر. وفي هذه السلسلة، يساعد ذلك في تحديد العناصر المعروفة بالفعل وإضافة سياق إلى العناصر غير المعروفة.
- ثم تقوم Adaptive بتشغيل الملف في بيئة محاكاة وتراقب تسلسل التنفيذ: ملف LNK الذي يُشغِّل PowerShell، والأمر المشفر الذي يقوم بفك تشفير أرشيف tar، والملف الثنائي الموقّع من Canon الذي يقوم بتحميل مكتبة DLL غير موقّعة، والحمولة المشفرة لـ PlugX التي تُنشئ استمرارية وتتصل بالبنية التحتية C2 (القيادة والتحكم).
- يجمع نظام تقييم المخاطر بين تلك النتائج وإشارات السمعة والمؤشرات المستخلصة في درجة مخاطر مرجحة تأخذ في الاعتبار السياق السلوكي الكامل.
- يقوم البحث عن التشابه القائم على التعلم الآلي بمقارنة الملف وسلوكه مع عائلات البرامج الضارة المعروفة والأنشطة ذات الصلة، مما يساعد في الكشف عن الصلات بمتغيرات PlugX أو حملات تحميل ملفات DLL الجانبية المماثلة.
يوفر هذا المسار الإجمالي فعالية تصل إلى 99.9% في الكشف عن هجمات "اليوم صفر"، ويقدم تقييمًا موثوقًا واحدًا لكل ملف، بدلاً من إجبار محللي مركز العمليات الأمنية (SOC) على مطابقة التقارير المنفصلة يدويًّا. ويكتسب ذلك أهمية خاصة عندما تقوم الفرق بتصنيف مئات الملفات يوميًا عبر البريد الإلكتروني، MFT، ICAP وأكشاك الخدمة الذاتية، ووحدات التخزين، وسير العمل عبر المجالات المختلفة.
يتمثل أحد العوامل الرئيسية التي تميز هذه السلسلة في المحاكاة على مستوى التعليمات. فقد تفوت صناديق الحماية القديمة القائمة على آلات افتراضية (VM) اكتشاف البرامج الضارة التي تستخدم أساليب التحايل على آلات افتراضية، والتأخيرات الزمنية، وفحوصات البيئة لتجنب التنفيذ الكامل. أما صندوق الحماية التكيفي MetaDefender فيحاكي سلوك وحدة المعالجة المركزية (CPU) ونظام التشغيل على مستوى التعليمات، مما يساعد على كشف التسلسل الكامل لعملية التحميل الجانبي من ملف LNK إلى PowerShell ثم إلى ملف DLL.
بالنسبة لفرق SOC، فإن الفائدة الملموسة هي:
- تقييم أسرع لأن النتائج قد تم ربطها وتصنيفها وفقًا لنظام MITRE
- قرارات حجب أكثر صرامة لأن الحكم يعكس السلوك أثناء التشغيل بدلاً من الاكتفاء بالسمعة الثابتة
- انخفاض عدد الإشارات الخاطئة ، حيث يستطيع MetaDefender التمييز بين الملفات الثنائية الشرعية الموقعة التي يتم استغلالها والحمولة الخبيثة الحقيقية
- تحسين الاستعداد لمواجهة هجمات "اليوم صفر " عبر نقاط استلام الملفات التي تدخل من خلالها هذه الهجمات إلى البيئة
كيف تعمل تقنية Deep CDR™ على تحييد المحفز
تعمل تقنية Deep CDR™ على قطع هذه السلسلة قبل أن تبدأ، وذلك عن طريق تعطيل الملف الذي يطلق سلسلة الأحداث. فبينما يكشف MetaDefender عن ما يفعله الملف الخبيث أثناء التشغيل، تساعد تقنية Deep CDR™ في ضمان عدم حصول الملف على فرصة للتنفيذ مطلقًا.
تتعلق هذه الآلية بشكل خاص بكيفية عمل الهجمات التي تستند إلى LNK. فالاختصار المُسلَّح يحمل نيته الخبيثة في معلمات سطر الأوامر المضمنة، وهي في هذه الحالة استدعاء PowerShell المشفر الذي يقوم بفك تشفير أرشيف tar وتشغيل سلسلة الحمولة. وتقوم تقنية Deep CDR™ بتحديد هذا الأمر المضمن واستبداله بأمر وهمي غير ضار، مما يحافظ على الاختصار في صيغة خالية من التهديدات مع إزالة قدرته على العمل كمحفز للهجوم.
والنتيجة هي مسار عمل LNK مُعقَّم يتم فيه تحييد السلوك الخبيث الأصلي قبل التنفيذ. لا يتم تنفيذ PowerShell، ولا استخراج الملفات المضغوطة، ولا تحميل ملفات DLL بشكل جانبي، ولا يتم تشغيل PlugX. وعند استخدامهما معًا، يُشكِّل كل من MetaDefender وتقنية Deep CDR™ نموذجًا دفاعيًا من طبقتين.
نموذج الدفاع ذو الطبقتين
| طبقة | التكنولوجيا | دور |
|---|---|---|
| الكشف والفهم | MetaDefender | يقوم بتحليل الملف، ويكشف مسار التنفيذ الكامل متعدد المراحل، ويستخرج مؤشرات السلوك (IOCs)، ويقدم تقييمًا موثوقًا واحدًا. |
| نزع السلاح والوقاية | تقنية Deep CDR™ | يعطل الأمر LNK الضار، مما يمنع تشغيل الاختصار. |
هذا التمييز مهم من الناحية العملية. MetaDefender هو الحل المخصص للكشف عن التهديدات في يوم الصفر (zero-day) للملفات التي تتطلب تحليلاً متعمقاً، لا سيما عندما يكون الهدف هو فهم سلوك البرنامج أثناء التشغيل والتوصل إلى قرار مؤكد. أما تقنية Deep CDR™ فهي آلية التطهير والوقاية للملفات التي يمكن تعطيل محتواها بأمان دون الإخلال بالاستخدام المشروع. ويغطي هذان الحلان معاً جانبي المشكلة: فهم ما تفعله التهديدات وضمان عدم إتاحة الفرصة لها أبداً.
لماذا الدقة مهمة
الدقة أمر مهم لأن ليس كل ملف في سلسلة الهجوم يكون ضارًا، ومعاملتهم جميعًا بنفس الطريقة يؤدي إلى اكتشاف مفرط النطاق يضعف الثقة في أدوات. وتوضح هذه الحملة ذلك بوضوح.
تعد أداة طابعة Canon الموقعة (cnmpaui.exe) ملفًا ثنائيًا شرعيًا. فهي تتمتع بتوقيع رقمي صالح، وسمعة نظيفة، وتجزئة مرتبطة ببرامج شرعية. ومن شأن تصنيفها على أنها ضارة أن يؤدي إلى ظهور نتائج إيجابية خاطئة في البيئات التي تم فيها تثبيت برامج طابعات Canon، كما أنه سيؤدي إلى جعل محللي مراكز العمليات الأمنية (SOC) لا يثقون في التنبيهات التي يتلقونها.
أهم مؤشرات الاختراق (IOCs) هي ملف DLL الخبيث (cnmpaui.dll) وسلسلة السلوكيات التي يتيحها:
- تحميل جانبي وفك تشفير حمولة مشفرة باستخدام مفتاح RC4 مبرمج بشكل ثابت
- تعيين ملف PlugX الثنائي الذي تم فك تشفيره في مساحة ذاكرة عملية موثوقة
- تحديد الإبقاء على العملية من خلال مفتاح التشغيل "CanonPrinter"
- بدء حركة مرور C2 عبر HTTPS باستخدام مسارات عناوين URL عشوائية وسلسلة وكيل مستخدم مزيفة
هذه هي الإشارات الأكثر أهمية، ولا تظهر إلا عندما تتمكن أداة الكشف من مراقبة السلوك والتمييز بين ملف ثنائي موثوق به يتم استغلاله بشكل غير مشروع، وبين عنصر ضار حقيقي.
وهنا تبرز القيمة الكبيرة للحكم الموثوق الوحيد MetaDefender . فبدلاً من تصنيف كل ملف في السلسلة ببساطة على أنه «خبيث»، تقوم سلسلة الكشف بتقييم كل مكون بناءً على السلوك الملحوظ له ضمن سياق التنفيذ الكامل.
يتم التعرف على ملف EXE الموقّع باعتباره ملفًا ثنائيًا شرعيًا يُستخدم للتثبيت الجانبي. أما ملف DLL وسلوكه أثناء التشغيل فيتم تصنيفهما على أنهما التهديد الحقيقي. ويمنح هذا التمييز فرق الأمن صورة أوضح ويقلل من الجهد اليدوي المطلوب لتمييز الإشارات المهمة عن الضوضاء.
يمكن أيضًا تعزيز الكشف الثابت عن مكتبة DLL الخبيثة باستخدام قواعد موجهة مثل YARA، وتُعد توقيعات YARA التي نشرتها Arctic Wolf لمحمل CanonStager نقطة انطلاق مفيدة. لكن تغطية التوقيعات هي بطبيعتها رد فعل. وفي سلسلة مثل هذه، فإن العامل الفارق الحقيقي هو الرؤية السلوكية بالإضافة إلى تعطيل الملفات.
تطبيق أمان الملفات متعدد الطبقات لكشف سلاسل الهجمات القائمة على ملفات LNK
تستمر الهجمات القائمة على ملفات LNK في النجاح لأنها تعتمد على نوع ملف يراه الناس يوميًا ونادرًا ما يعتبرونه خطيرًا. في مقال سابق، أشرنا إلى أن ملفات LNK هي اختصارات عادية في نظام Windows يمكن للمهاجمين استغلالها كسلاح عن طريق إخفاء أوامر PowerShell أو cmd.exe بداخلها، وأحيانًا بطرق تبدو غير ضارة حتى يتم فتح الملف فعليًا. وهذا هو بالضبط السبب في استمرار نجاح حملات مثل حملة UNC6384: فالاختصار يبدو مألوفًا، لكن السلوك الذي يطلقه هو عكس ذلك تمامًا.
وقد استمر هذا النمط في العديد من الحملات. في تغطيتنا لفيروس «إيموتيت»، أوضحنا سبب صعوبة تمييز ملفات الاختصارات عن المستندات العادية، وأن امتدادها لا يظهر بشكل افتراضي في نظام «ويندوز». وقد جعلها ذلك وسيلة فعالة بشكل خاص لنقل الفيروس. والدرس المستفاد هنا هو نفسه: لا يحتاج المهاجمون إلى حيلة جديدة تمامًا عندما يكون بإمكان نوع ملف مألوف أن يتسلل إلى سير العمل اليومي ويطلق سلسلة عدوى متعددة المراحل.
لا يكمن الحل في تصنيف كل ملف في السلسلة على أنه ضار، بل في تطبيق نظام أمان متعدد الطبقات للملفات قادر على كشف السلوك أثناء التشغيل، والتمييز بين الملفات الثنائية الشرعية التي يتم استغلالها والحمولة الضارة، ووقف المشغل قبل أن ينفجر. تواصل مع أحد OPSWAT لمعرفة كيف يمكن MetaDefender وتقنية Deep CDR™ مساعدة فريقك على كشف الهجمات القائمة على ملفات LNK وتحليلها ومنعها.
