رصد فريق البحث والتحليل العالمي (GReAT) في كاسبرسكي هجوماً نشطاً على سلسلة التوريد يستهدف الموقع الرسمي لبرمجية DAEMON Tools التي تُستخدم على نطاق واسع لمحاكاة الأقراص الافتراضية. ويتضمن ملف التثبيت المُخترق برمجيات ضارة مرفقة مع النسخة الشرعية للبرمجية الأصلية؛ مما يتيح للمهاجمين تنفيذ أوامر غير مصرح بها والتحكم عن بُعد في الأجهزة المصابة.
كشف الباحثون في دراسة حديثة لبيانات القياس عن بُعد أن جهات خبيثة قامت منذ 8 أبريل 2026 بتوزيع نسخة مُحرّفة من البرنامج عبر النطاق الرسمي للشركة، مستغلين شهادة رقمية شرعية للمطوّر لإخفاء البرمجيات الخبيثة. ويطال هذا الاختراق الإصدار رقم 12.5.0.2421 من Daemon Tools وما تلاه حتى الإصدار الحالي. وقد أبلغت كاسبرسكي شركة AVB Disc Soft، المطوّرة للبرمجية عن هذا الاختراق لاتخاذ إجراءات المعالجة اللازمة.
ونظراً لاعتماد برمجية محاكاة الأقراص على الوصول العميق إلى مكونات النظام للعمل بكفاءة، يقوم المستخدمون عادةً بمنحها صلاحيات إدارية عالية أثناء عملية التثبيت. وتُستغل هذه الآلية لتمكين البرمجيات الضارة المدمجة في البرنامج من التغلغل داخل نظام التشغيل بشكل يصعب اكتشافه، مما يعرّض سلامة الجهاز للخطر. وقد عمد المهاجمون إلى التلاعب بالملفات التنفيذية الأصلية للبرمجية لتفعيل نص برمجي خبيث عند بدء عملية التثبيت، إلى جانب استخدام خدمة موثوقة في نظام ويندوز لضمان بقاء البرمجية الخبيثة داخل النظام.
وقد كشفت بيانات القياس عن بُعد لدى كاسبرسكي عن توزيع عالمي واسع للتحديثات المخترقة شمل أكثر من 100 دولة ومنطقة حول العالم، مع تمركز غالبية الضحايا في روسيا، والبرازيل، وتركيا، وإسبانيا، وألمانيا، وفرنسا، وإيطاليا، والصين.
كما يُبيّن التحليل أن 10% من الأنظمة المتضررة تابعة لمؤسسات وشركات. ورغم أن Daemon Tools تحظى باستخدام واسع بين المستخدمين الأفراد، فإن استخدامها في البيئات المؤسسية يفتح الباب أمام مخاطر تمتد إلى الشبكات الداخلية للشركات.
من جانب آخر، رصد فريق البحث والتحليل العالمي لدى كاسبرسكي قيام المهاجمين بتنفيذ عمليات نشر يدوية لحمولات إضافية على مجموعة صغيرة من الأجهزة -ما يقارب عشرة أجهزة- التابعة لمؤسسات تعمل في مجالات التجزئة، والعلوم، والقطاع الحكومي، والتصنيع. وتضمنت هذه الحمولات أداة لحقن تعليمات برمجية خبيثة وبرمجيات رات الخبيثة (RATs) غير معروفة سابقاً، ويعكس التوزع القطاعي الضيق للضحايا، إلى جانب وجود أخطاء لغوية وتباينات في الأوامر المنفذة، أن عمليات الاختراق اللاحقة تُدار بشكل يدوي ومباشر ضد أهداف منتقاة بدقة. ورغم رصد الباحثين لمؤشرات باللغة الصينية ضمن الغرسات الخبيثة، إلا أن الحملة لم تُنسب بَعد إلى أي جهة تهديد معروفة.
وقد صرّح جورجي كوتشيرين، خبير البحث الأمني في فريق البحث والتحليل العالمي لدى كاسبرسكي، قائلاً: «يتجاوز هذا النوع من الاختراقات آليات الحماية التقليدية، لأن المستخدمين يثقون بالبرمجيات الموقعة رقمياً والمحمّلة مباشرة من مزوّد رسمي. ونتيجة لهذا الأمر، لم يتم اكتشاف هجوم Daemon Tools لمدة تقارب شهراً. وهذا يشير إلى أن الجهة المهاجمة تمتلك قدرات متقدمة ومستوى عالٍ من التعقيد في العمليات الهجومية. وبالنظر إلى مستوى التعقيد لهذا الاختراق، يصبح من الضروري أن تقوم المؤسسات بعزل الأجهزة التي تم تثبيت Daemon Tools عليها، وإجراء عمليات فحص أمنية دقيقة لمنع أي انتشار إضافي للأنشطة الخبيثة داخل الشبكات المؤسسية.»
تواصل كاسبرسكي اكتشاف ومنع تشغيل حزم التثبيت المُخترقة بشكل فعّال. ويشدد الباحثون على ضرورة قيام المؤسسات بمراجعة شبكاتها بحثاً عن وجود برمجية Daemon Tools Lite، وعزل الأجهزة الطرفية المتضررة، مع تتبع أي محاولات لتنفيذ أوامر غير مصرح بها أو تحركات جانبية داخل الشبكة. أما المستخدمون الأفراد، فيُنصحون بإزالة البرمجية المخترقة فوراً، وإجراء فحص شامل للجهاز للتحقق من خلوه من أي برمجيات خبيثة.
أظهرت دراسة أجرتها كاسبرسكي في مارس 2026، أن هجمات سلسلة التوريد تصدّرت قائمة أكثر التهديدات السيبرانية التي تعرضت لها الشركات خلال العام الماضي، ومع ذلك، يرى 9% من المؤسسات فقط أنها من أبرز التهديدات التي تستدعي القلق.
وللحد من مخاطر هذه الهجمات على سلسلة توريد البرمجيات، توصي كاسبرسكي المؤسسات باتباع التدابير الأمنية التالية:
● تقييم سلاسل توريد البرمجيات: قبل إدخال تطبيقات خارجية إلى بيئة العمل، من الضروري مراجعة سجل الأمان الخاص بالمورّد، ومراجعة تقاريره حول الثغرات، والتحقق من امتثاله لمعايير الأمن المعتمدة.
● تطبيق سياسات شراء صارمة: يتعين إجراء تحقيقات أمنية دورية على البرمجيات، وضمان التزام الأدوات المستخدمة داخل المؤسسة بسياسات الأمن، ومتطلبات الإبلاغ عن الحوادث.
● تقليل الصلاحيات الإدارية: اعتماد استراتيجيات مثل مبدأ الحد الأدنى من الامتيازات ونموذج الثقة الصفرية، إذ يساهم في تقليص نطاق التأثير في حال تعرض تطبيق موثوق للاختراق.
● اعتماد نهج المراقبة المستمرة للبنية التحتية: تنصح كاسبرسكي باستخدام حلول الكشف والاستجابة الموسّعة (XDR) مثل Kaspersky Next، التي تتيح المراقبة اللحظية للشبكات لاكتشاف أي نشاط غير طبيعي أو محاولات لتنفيذ أوامر غير مصرح بها.
● تحديث أدلة الاستجابة للحوادث: يجب أن تشمل خطط الاستجابة أساليب اختراق سلاسل التوريد، مع تحديد خطوات واضحة وسريعة لاكتشاف التطبيقات المتضررة، والتعامل معها بطريقة مناسبة، وفصلها عن الأنظمة الداخلية.
يمكن الاطلاع على البحث الكامل عبر الموقع الإلكتروني Securelist.com.
