⚡ أبرز النقاط

تم توزيع برنامج تثبيت DAEMON Tools Lite المعدَّل خبيثاً (الإصدارات 12.5.0.2421 حتى 12.5.0.2434) ابتداءً من 8 أبريل 2026، وأصاب آلاف الأجهزة في أكثر من 100 دولة قبل أن يكشفه باحثو Kaspersky. تلقّت نحو دزينة فقط من الأهداف ذات القيمة العالية في قطاعات الحكومة والتصنيع والعلوم برامج إضافية متقدمة للوصول عن بُعد — وهي استراتيجية دقيقة استغلت الثقة في سلسلة التوريد البرمجية.

الخلاصة: يجب على فرق الأمن فحص الأجهزة فوراً بحثاً عن إصدارات DAEMON Tools المخترقة، وحجب نطاق القيادة والسيطرة env-check.daemontools[.]cc، وتفعيل رصد خدمات الإقلاع للكشف عن أي انحرافات مشبوهة.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالي
سجّلت الجزائر أكثر من 70 مليون هجوم إلكتروني في 2024، محتلةً المرتبة 17 عالمياً. أدوات تركيب صور الأقراص كـDAEMON Tools مُستخدَمة على نطاق واسع في بيئات تكنولوجيا المعلومات للمؤسسات والحكومات الجزائرية العاملة بـWindows.
البنية التحتية جاهزة؟
جزئي
يمكن للمؤسسات الجزائرية المتوافقة مع ASSI والمجهّزة بأنظمة EDR تطبيق توصيات حجب القيادة والسيطرة ومراقبة العمليات. تفتقر معظم المؤسسات الصغيرة والمتوسطة إلى مستوى الرؤية NDR اللازم لاكتشاف مرحلة التحليل في هذا النوع من الهجمات.
المهارات متوفرة؟
منخفض
تستلزم صيد التهديدات واكتشاف حقن العمليات مهارات SOC متخصصة. تتوسّع وزارة التكوين والتعليم المهني الجزائرية في تدريب الأمن السيبراني، لكن المحللين المؤهلين للتحقيق في شذوذات خدمات الإقلاع لا يزالون نادرين خارج كبرى المؤسسات.
الجدول الزمني للعمل
فوري
يجب على المنظمات التي تشغّل DAEMON Tools Lite الإصدارات 12.5.0.2421–12.5.0.2434 المراجعة والتحديث فوراً. حجب نطاق القيادة والسيطرة إجراء يُنجز في نفس اليوم. تستلزم برامج SBOM وقياس خط الأساس 6 إلى 12 شهراً للتشغيل.
أصحاب المصلحة الرئيسيون
المدراء التقنيون، فرق أمن تكنولوجيا المعلومات، مسؤولو المشتريات، مدراء تكنولوجيا المعلومات في القطاع العام
نوع القرار
تكتيكي
يوفر هذا المقال إجراءات فورية ومحددة يمكن لفرق الأمن تنفيذها للكشف عن هذه الحملة وتخفيف آثارها، إضافة إلى إصلاحات بنيوية للوقاية من التكرار.

خلاصة سريعة: على فرق تكنولوجيا المعلومات الجزائرية فحص الأجهزة فوراً بحثاً عن إصدارات DAEMON Tools Lite 12.5.0.2421–12.5.0.2434 وحجب نطاق القيادة والسيطرة env-check.daemontools[.]cc على مستوى DNS. على المدى البعيد، يجب على المؤسسات المتوافقة مع ASSI إدراج موردي أدوات الأقراص في برامج أمن الموردين وتطبيق مراقبة خط الأساس عند الإقلاع — وهي الثغرة التي استغلتها هذه الحملة بدقة متناهية.

إعلان

كيف تحوّل أداة موثوقة لتركيب صور الأقراص إلى ناقل هجوم

DAEMON Tools هو أحد أكثر أدوات تركيب صور الأقراص انتشاراً على نظام Windows، يستخدمه مختصو تكنولوجيا المعلومات والمطورون والمستخدمون المنزليون في شتى القطاعات. في 8 أبريل 2026، بدأ المهاجمون في توزيع نسخ معدَّلة من DAEMON Tools Lite — تحديداً الإصدارات 12.5.0.2421 حتى 12.5.0.2434 — تحمل باباً خلفياً مخفياً بجانب التطبيق الشرعي. ظل التلاعب غير مكتشف لنحو شهر قبل أن يكشفه باحثو Kaspersky ايغور كوزنيتسوف وجيورجي كوتشيرين وليونيد بيزفيرشينكو وأنطون كارجين في تحليلهم المنشور.

سجّل المهاجمون نطاق القيادة والسيطرة «env-check.daemontools[.]cc» في 27 مارس 2026 — قبل اثني عشر يوماً من ظهور أول مُثبِّت مُصاب. يكشف هذا التحضير المسبق عن حملة مدروسة بعناية، لا هجوماً انتهازياً عشوائياً.

جرى تعديل ثلاثة مكونات تنفيذية رئيسية في DAEMON Tools:

  • DTHelper.exe — المشغّل الرئيسي
  • DiscSoftBusServiceLite.exe — الخدمة العاملة في الخلفية
  • DTShellHlp.exe — مساعد الصدفة

عند تشغيل أيٍّ من هذه المكونات أثناء بدء تشغيل النظام، أطلق خيط مُضمَّن طلبات HTTP GET إلى نطاق القيادة والسيطرة الخبيث، مُرسِلاً الاسم الكامل للجهاز المُصاب. أتاح ذلك للمهاجمين تعريف كل ضحية وتحليلها قبل اتخاذ قرار التصعيد. وفقاً لملخص eSecurity Planet الأمني لمايو 2026، أسفرت الحملة عن «آلاف من محاولات الإصابة» في أكثر من 100 دولة.

البنية ذات المرحلتين: تحليل بالجملة واستهداف بالمفرد

ما يجعل هذا الهجوم متطوراً تقنياً هو أسلوب نشر الحمولة على مرحلتين — تصميم لا يكشف إلا الأهداف الأعلى قيمة للأدوات المتقدمة، مع إبقاء الضجيج في أدنى مستوياته.

المرحلة 1 — التحليل الجماعي: نُشر جامع المعلومات envchk.exe على آلاف الأجهزة المخترقة. مهمته الوحيدة كانت الاستطلاع: جمع بيانات النظام ومعرّفات الأجهزة، إرسالها إلى القيادة والسيطرة، ثم انتظار التعليمات. تنتج هذه المرحلة أدنى الآثار الجنائية الرقمية ونادراً ما تُطلق أنظمة الكشف على نقاط النهاية.

المرحلة 2 — الباب الخلفي الانتقائي: من بين آلاف الضحايا، تلقّت نحو دزينة فقط من الأجهزة الحمولة الثانوية المتقدمة: cdg.exe/cdg.tmp، محمِّل شل كود يُنشئ باباً خلفياً بسيطاً لكنه قادر. دعم هذا الباب الخلفي مجموعة واسعة بشكل غير معتاد من بروتوكولات الاتصال مع القيادة والسيطرة — HTTP وUDP وTCP وWSS وQUIC وDNS وHTTP/3 — مما يُعسِّر الحجب على مستوى الشبكة. كما نفّذ حقن العمليات في notepad.exe وconhost.exe، وهما عمليتان تُدرجهما كل قائمة بيضاء للمؤسسات تقريباً ضمن العمليات الآمنة.

انتمت الأجهزة الاثنا عشر التي تلقّت الزرع الكامل إلى منظمات في قطاعات التجزئة والعلوم والحكومة والتصنيع في روسيا وبيلاروسيا وتايلاند. تلقّت مؤسسة تعليمية في روسيا أيضاً QUIC RAT، وهو حصان طروادة للوصول عن بُعد يُسلَّم عبر بروتوكول QUIC.

أشار باحثو Kaspersky إلى وجود «قرائن تشير إلى أن جهة التهديد وراء هذا الهجوم ناطقة بالصينية»، دون الإقدام على إسناد رسمي.

إعلان

ما يجب على فرق أمن المؤسسات فعله الآن

حملة DAEMON Tools مخطط نموذجي لكيفية استغلال الثقة في سلسلة التوريد البرمجية. تتناول الوصفات التالية الثغرات البنيوية التي استغلتها هذه الحملة.

1. فحص مخزون البرامج للكشف عن إصدارات DAEMON Tools المُعدَّلة خبيثاً

الإصدارات المخترقة تحديداً هي 12.5.0.2421 حتى 12.5.0.2434 على Windows. ينبغي لأي منظمة لديها DAEMON Tools Lite مثبَّتاً أن تُجري فحصاً فورياً للمخزون. أضافت منصة Anti Targeted Attack (KATA) من Kaspersky قواعد كشف عبر وحدة Network Detection and Response (NDR)، ويتضمن خلاصة KEDR Expert المؤشرات ذات الصلة. نطاق القيادة والسيطرة الخبيث المعروف هو env-check.daemontools[.]cc — احجبه فوراً على مستوى DNS والبروكسي، واستعرض سجلات DNS بأثر رجعي للكشف عن أي تحليل تاريخي لهذا النطاق.

2. اشتراط قوائم مكونات البرامج (SBOM) لأدوات الأقراص

تُمثّل أدوات تركيب صور الأقراص والمحاكاة الافتراضية — DAEMON Tools وWinCDEmu وVirtual CloneDrive — فئة مُهمَلة في معظم برامج أمن الموردين. تحظى بتدقيق أدنى لأنها تُعدّ أدوات مساعدة لا تطبيقات تجارية، غير أنها تعمل عند الإقلاع بصلاحيات النظام. اشترط SBOMs من موردي الأدوات المساعدة، وراقب مجاميع التحقق الرسمية من مصدر ثانوي قبل أي نشر جماعي، وأبلغ عن أي مُثبِّت يُعدِّل مدخلات الإقلاع أو يُسجِّل خدمات في الخلفية.

3. تطبيق مراقبة حقن العمليات للعمليات المُدرجة في القوائم البيضاء

نفّذ هذا الهجوم حقناً في notepad.exe وconhost.exe — عمليتان تُعاملهما كل قائمة بيضاء للمؤسسات تقريباً باعتبارهما آمنتين. يجب أن تراقب قواعد EDR تحديداً عمليات كتابة الذاكرة غير المعتادة في هذه العمليات، خاصة تلك الصادرة من خدمات تطبيقات لا ينبغي أن تكتب إليها. يُبرز ملخص البرامج الخبيثة لمايو 2026 من Barracuda أن حقن العمليات في ملفات النظام المُدرجة في القوائم البيضاء هو تقنية التهرب السائدة في حملات سلسلة التوريد خلال 2026.

4. تطبيق حجب القيادة والسيطرة متعدد البروتوكولات على حافة الشبكة

تواصل الباب الخلفي لـDAEMON Tools عبر HTTP وUDP وTCP وWSS وQUIC وDNS وHTTP/3 — مزيج بروتوكولات مُصمَّم لضمان نجاة قناة واحدة على الأقل من قواعد جدار الحماية القياسية. ستفوت المنظمات المعتمدة على حجب TCP/HTTP فقط قنوات QUIC وDNS. يجب أن تفحص سياسات أمن الشبكة QUIC (UDP المنفذ 443) للعمليات غير المتصفحات وتقيّده، وتُمكِّن نطاقات سياسة استجابة DNS (RPZ) لحجب النطاقات الخبيثة المعروفة، وتسجّل جميع استعلامات DNS من خدمات الإقلاع لتحليلها بأثر رجعي.

5. إنشاء قياس أساسي لبيانات الإقلاع قبل تثبيت أي أداة مساعدة

ينبغي لكل جهاز طرفي أن يمتلك قياساً أساسياً مُسجَّلاً للإقلاع — لقطة لجميع العمليات والخدمات والمهام المجدولة التي تُحمَّل عند الإقلاع — تُلتقط عند التهيئة وتُحدَّث ربع سنوياً. ينبغي أن تُنشئ أي انحرافات عن القياس الأساسي (خدمات جديدة، اتصالات شبكة جديدة عند الإقلاع) تنبيهات تلقائية. كان هجوم DAEMON Tools سيظهر فوراً عبر بدء DiscSoftBusServiceLite.exe اتصالات شبكة إلى نطاق خارجي — وهو سلوك غير متوقع من خدمة صور الأقراص.

الدرس البنيوي

يكشف هجوم DAEMON Tools عن ضعف بنيوي في طريقة تصنيف برامج أمن المؤسسات لمخاطر البرامج. تستثمر المنظمات بكثافة في التحقق من التطبيقات الحيوية — أنظمة ERP ومنصات السحابة وأدوات ذكاء الأعمال — بينما تحظى أدوات سطح المكتب التي تعمل بصلاحيات النظام وتُنشئ خدمات إقلاع مستمرة بمراقبة ضئيلة. فهم المهاجمون هذا التفاوت واستغلوه.

تُعدّ بنية التحليل-ثم-الاستهداف لافتة للنظر أيضاً: بدلاً من نشر حمولة واحدة بشكل شامل وقبول مخاطر الكشف، استخدم المهاجمون الاستطلاع الجماعي لاستحقاق الدقة. فقط اثنتا عشرة منظمة من بين آلاف الضحايا تلقّت الزرع المتقدم. يعني هذا المستوى من الانتقائية أن الحملة كان يمكن أن تستمر إلى أجل غير مسمى دون إطلاق تبادل واسع لمعلومات التهديدات.

يُذكِّرنا كشف Kaspersky لهذه الحملة بأن التهديدات في سلسلة التوريد تتطلب رؤية على مستوى الشبكة، لا مجرد توقيعات نقاط نهاية. سُجِّل نطاق القيادة والسيطرة قبل اثني عشر يوماً من الإصابة الأولى، تاركاً نافذة كان فيها اشتراك استباقي في معلومات التهديدات كافياً لاكتشافه.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn
تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

إعلان

الأسئلة الشائعة

ما الإصدارات من DAEMON Tools التي تأثرت في هجوم سلسلة التوريد؟

أُكِّد أن DAEMON Tools Lite الإصدارات 12.5.0.2421 حتى 12.5.0.2434 على Windows قد جرى التلاعب بها. كانت مُثبِّتات برنامج التجسس نشطة من 8 أبريل 2026 حتى اكتشافها من قِبَل Kaspersky بعد نحو شهر. ينبغي للمستخدمين الذين يشغّلون هذه الإصدارات التحديث الفوري إلى إصدار نظيف ومراجعة خدمات الإقلاع بحثاً عن اتصالات شبكة غير مصرح بها.

كيف قرر المهاجمون الضحايا الذين يستهدفونهم بالباب الخلفي الكامل؟

استخدمت الحملة نهجاً على مرحلتين: نُشِر المحلِّل envchk.exe على آلاف الأجهزة لجمع معرّفات النظام وإرسالها إلى القيادة والسيطرة. ثم اختار المهاجمون يدوياً نحو دزينة من الأهداف ذات القيمة العالية — في منظمات حكومية وصناعية وعلمية — لتسليم الباب الخلفي المتقدم. أبقى هذا النشر الانتقائي الهجوم في الخفاء وجعله صعب الكشف عبر تبادل معلومات التهديدات.

ما هو QUIC RAT ولماذا يُصعِّب الكشف عنه؟

QUIC RAT هو حصان طروادة للوصول عن بُعد يتواصل عبر بروتوكول QUIC — البروتوكول ذاته الذي تستخدمه المتصفحات الحديثة لحركة مرور HTTPS. لا تفحص معظم جدران الحماية والبروكسيات في المؤسسات حركة مرور QUIC الصادرة من عمليات غير المتصفحات، مما يجعله قناة خفية فعّالة. ينبغي لفرق الأمن تهيئة ضوابط الشبكة لحجب QUIC (UDP المنفذ 443) صراحةً للعمليات غير المتصفحات المعروفة، والتنبيه على أي خدمة إقلاع تُنشئ اتصالات QUIC.

المصادر والقراءات الإضافية