السبت -الخميس 10 ص حتى 10 م

اكتشاف "RustDuck".. شبكة روبوتات خبيثة (Botnet) متطورة تنتقل إلى لغة Rust لشن هجمات DDoS مدمرة

في تطور جديد ومثير للقلق في مشهد التهديدات السيبرانية، كشف باحثو الأمن في نظام (XLAB) عن ظهور عائلة جديدة من البرمجيات الخبيثة أُطلق عليها اسم "RustDuck". هذه البرمجية، التي تعمل وفق معمارية ثنائية المرحلة (مُحمِّل ونواة)، تُنذر ببدء حقبة جديدة من شبكات الروبوتات (البوت نت) الموجهة لشن هجمات حجب الخدمة الموزعة (DDoS) واسعة النطاق.

وما يجعل "RustDuck" يتصدر العناوين في مجتمع الأمن السيبراني ليس فقط حجم هجماته، بل سرعة تطوره التقني المرعبة؛ فقد رصد الباحثون انتقال مطوري هذه البرمجية بشكل كامل من لغة (C) التقليدية إلى لغة (Rust) الحديثة، مما يمنحها استقراراً أكبر، وقدرات استثنائية على التخفي وتشفير حركة المرور لتجاوز أعتى الجدران الدفاعية.

rustduckكيف ينشر "البط الصدئ" (RustDuck) عدواه؟

بحسب تقرير التحليل الذي راجعناه هنا في "هاكابل"، لا يترك المهاجمون باباً إلا وطرقوه. تعتمد سلسلة الانتشار على مزيج فتاك يجمع بين:

  1. هجمات التخمين العنيف (Brute-force): استهداف كلمات المرور الضعيفة عبر بروتوكولات (SSH/Telnet).

  2. استغلال ثغرات إنترنت الأشياء (IoT): اختراق أجهزة التوجيه (الراوتر)، الكاميرات، وأجهزة أندرويد الخادمة، مع استغلال ثغرات معروفة في أجهزة مثل TP-Link و ZTE.

  3. ثغرات الويب (Web RCE): استهداف تطبيقات وخوادم المؤسسات عبر مكونات مثل ThinkPHP و Jenkins.

هذا المزيج يسمح لـ RustDuck بأتمتة عمليات الاختراق ونشر حمولاته الخبيثة على نطاق واسع، حيث سُجل أكثر من 20 عنوان IP نشط يعملون كمحطات لتوزيع العدوى عالمياً.

rustduck

ذكاء مضاد للتحليل: كيف يخدع "RustDuck" صائدي الثغرات؟

إذا كنت باحثاً أمنياً وتظن أن الإمساك بـ RustDuck سيكون سهلاً في بيئة معزولة (Sandbox)، فعليك إعادة التفكير. لقد زوّد المطورون "النواة" بآلية تقييم مخاطر تعتمد على "الأوزان الديناميكية".

تقوم البرمجية بعمليات فحص دقيقة للبيئة التي تعمل فيها؛ فإذا لاحظت وجود أدوات تحليل مثل Wireshark أو Frida، أو اكتشفت أنها داخل "مصيدة مخترقين" (Honeypot)، فإنها تمنح النظام "نقاط خطر". وإذا تجاوزت النقاط حداً معيناً، تقوم البرمجية بمسح آثارها والانتحار فوراً.

من أبرز حيل التخفي التي أثارت إعجاب (وقلق) خبراء "هاكابل":

  • فحص الثقب الأسود (Network Blackhole): تحاول البرمجية الاتصال بعنوان IP وهمي (192.0.2.1). إذا نجح الاتصال، تدرك فوراً أنها داخل بيئة اختبار وهمية تقوم بتزييف الإنترنت، فتتوقف عن العمل.

  • فحص السفر عبر الزمن (Time Travel Check): تقوم البرمجية بمقارنة دقيقة بين مصادر الساعة في النظام لاكتشاف ما إذا كان الباحث الأمني يقوم بتسريع الزمن لتجاوز فترات السبات (Sleep) التي تسبق التنفيذ.

تشفير عسكري وبروتوكولات تواصل معقدة

لم يكتفِ المطورون بلغة Rust، بل بنوا نظام اتصال معقد بخوادم القيادة والسيطرة (C2) - والتي يستخدمون فيها نطاقات تابعة لخدمة duckdns. يعتمد الاتصال على إطار عمل Noise Protocol لتأسيس "مصافحة" مشفرة ومؤمنة بخوارزميات متطورة مثل (Curve25519) و (ChaCha20).

وبمجرد نجاح الاتصال، يتم إنشاء حلقة أوامر مشفرة بخوارزمية (AES-GCM)، مع استخدام مفاتيح منفصلة لعمليات الإرسال والاستقبال، مما يجعل محاولات اعتراض وفك تشفير الأوامر (Man-in-the-Middle) شبه مستحيلة.

elf_overlay

 

key_derivation

رسالة "هاكابل" لمسؤولي الأنظمة

ظهور "RustDuck" يؤكد تريند تصاعدي خطير: عصابات الجريمة السيبرانية تتبنى لغات برمجة حديثة (مثل Rust و Go) لتطوير أسلحتها، وتدمج تقنيات تخفي كانت حكراً على الهجمات المتقدمة (APT) في برمجيات البوت نت التقليدية.

التوصيات:

  • قم بتحديث الأجهزة الطرفية والموجهات (Routers) فوراً وسد ثغرات الـ RCE المعروفة.

  • تخلّص نهائياً من كلمات المرور الافتراضية والضعيفة لخدمات الإدارة عن بُعد.

  • راقب حركة المرور المشبوهة نحو نطاقات DNS المجانية مثل duckdns، فقد تكون دليلاً على وجود "بطة صدئة" تسبح في خوادمك!

ابقوا آمنين، وتابعوا "هاكابل" للمزيد من التحليلات الحصرية لأحدث التهديدات السيبرانية.