- يستخدم برنامج طلب الفدية Qilin WSL لتشغيل برامج تشفير Linux خلسة على أنظمة Windows
- يتجاوز المهاجمون دفاعات Windows عن طريق تنفيذ ثنائيات ELF داخل بيئات WSL
- أدوات EDR تتجاهل التهديدات المستندة إلى WSL، مما يترك القطاعات الحيوية عرضة لحملات الابتزاز التي تقوم بها شركة Qilin
اكتشف الخبراء أن قراصنة برامج الفدية قاموا بتشغيل برامج تشفير Linux في نظام التشغيل Windows في محاولة لتجنب اكتشافهم بواسطة أدوات الأمان.
أبلغ الباحثون في Trend Micro عن ملاحظة عملية برنامج الفدية Qilin التي تقوم بتشغيل ميزة نظام Windows الفرعي لنظام التشغيل Linux (WSL) في نقاط النهاية المعرضة للخطر.
WSL هي ميزة في Windows تتيح للمسؤولين تشغيل بيئة Linux كاملة مباشرة على جهاز يعمل بنظام Windows دون الحاجة إلى جهاز ظاهري أو إعداد تشغيل مزدوج. فهو يتيح للمطورين ومسؤولي النظام استخدام أدوات سطر أوامر Linux (مثل bash وgrep وssh وapt وما إلى ذلك) جنبًا إلى جنب مع تطبيقات Windows.
التركيز على سلوك Windows PE
تقول Trend Micro إن المهاجمين يستخدمون WSL ليتمكنوا من تشغيل ELF القابل للتنفيذ على جهاز يعمل بنظام Windows ولتجاوز برامج أمان Windows التقليدية.
وقالت Trend Micro: “في هذه الحالة، تمكنت الجهات الفاعلة في مجال التهديد من تشغيل برنامج تشفير Linux على أنظمة Windows من خلال الاستفادة من نظام Windows الفرعي لنظام Linux (WSL)، وهي ميزة مضمنة تسمح لثنائيات Linux بالتنفيذ محليًا على Windows دون الحاجة إلى جهاز افتراضي”.
“بعد الوصول، قام المهاجمون بتمكين WSL أو تثبيته باستخدام البرامج النصية أو أدوات سطر الأوامر، ثم نشروا حمولة Linux Ransomware داخل تلك البيئة. وقد منحهم هذا القدرة على تنفيذ برنامج تشفير قائم على Linux مباشرة على مضيف Windows مع تجنب العديد من الدفاعات التي تركز على اكتشاف البرامج الضارة التقليدية لنظام Windows.”
وفقًا للمنشور، تركز العديد من منتجات Windows Endpoint Detection and Response (EDR) على سلوك Windows PE، وتتجاهل الأنشطة المشبوهة التي تحدث داخل WSL.
Qilin هي عملية فدية كخدمة (RaaS) تم رصدها لأول مرة في عام 2022. وكانت تُعرف لأول مرة باسم Agenda، ومنذ تغيير علامتها التجارية نمت لتصبح واحدة من أكثر منصات الابتزاز نشاطًا.
وكان أكبر وأبرز ضحاياه يميلون إلى أن يكونوا من المنظمات الغنية بالبيانات والبالغة الأهمية: مقدمو الرعاية الصحية والمختبرات (يُستشهد على نطاق واسع بهجوم Synnovis عام 2024 الذي عطل خدمات هيئة الخدمات الصحية الوطنية)، والهيئات الحكومية المحلية والإقليمية في الولايات المتحدة، والمرافق والتصنيع، والشركات الخاصة الكبيرة بما في ذلك المطالبات الأخيرة ضد شركات مثل أساهي.
عبر BleepingComputer
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات