برمجيات خبيثة داخلية تستغل ثغرة في Rt 2 Sld لاختراق أجهزة الشبكة

 

 

 منذ ديسمبر 2025، برز اتجاه مقلق في مختلف المؤسسات، حيث يستغل المهاجمون ثغرة أمنية خطيرة في تطبيقات React/Next.js.

تُعرف هذه الثغرة، المُسجلة تحت رقم CVE-2025-55182 والمعروفة باسم Rt 2 Sld، بأنها ثغرة تسمح بتنفيذ تعليمات برمجية عن بُعد، مما يجعلها عرضة للاستغلال على نطاق واسع.

 في حين أن الهجمات الأولية اعتمدت بشكل أساسي على برامج تعدين العملات المشفرة، اكتشفناها باحثو الأمن عن تهديدات أكثر تطورًا تستهدف البنية التحتية للشبكات عبر برمجية خبيثة غير معروفة سابقًا تُدعى ZDr.

شكّل ظهور ZDr تصعيدًا ملحوظًا في هذه الهجمات. يُظهر هذا الحصان الطروادي الذي يسمح بالوصول عن بُعد قدرات متقدمة تتجاوز بكثير عمليات التعدين البسيطة.

تشير الأدلة إلى أن ZDr نشط منذ ديسمبر 2023 على الأقل، حيث رسّخ وجوده بهدوء في البيئات المستهدفة.

 يشير التصميم المتطور للبرمجيات الخبيثة إلى تطوير دقيق ونشر استراتيجي ضد أجهزة الشبكة، مما يجعلها  قلق بالغ لفرق أمن المؤسسات.

 محللو الأمن في IN من تحديد هوية ZDr من خلال تحليل جنائي مفصل للأنظمة المخترقة.

  تحقيقهم عن سلسلة هجمات منسقة تبدأ باستغلال Rt 2 Sld وتنتهي بالوصول المستمر إلى الباب الخلفي من خلال نشر ZDr.

 آلية العدوى وعمليات القيادة والتحكم

تتبع آلية العدوى مسارًا مباشرًا وفعالًا. يستغل المهاجمون ثغرة Rt 2 Sld لتنفيذ أمر برمجي يقوم بتنزيل وتشغيل برنامج ZDr من خوادم خارجية على العنوان 45.76.155.14.

يتم تنفيذ الأمر عبر /bin/sh، وينشئ اتصالًا فوريًا مع خادم القيادة والتحكم على العنوان api.qtss.cc:443.

 تُشفّر تفاصيل التكوين، بما في ذلك عنوان خادم التحكم والسيطرة والمنفذ، باستخدام تشفير AS-CB بعد فك تشفير Be64، مما يحمي بنية الاتصال الخاصة بالبرمجية الخبيثة من الفحص العرضي.

تعمل ZDr كحصان طروادة متكامل الميزات للتحكم عن بُعد، مع قدرات شاملة للتحكم في النظام. تُرسل البرمجية الخبيثة إشارات مستمرة إلى خادم التحكم والسيطرة الخاص بها كل ثانية، ناقلةً معلومات النظام، بما في ذلك عناوين الشبكة، واسم المضيف، واسم المستخدم، ومعرّفات العمليات، عبر طلبات HTTP POT.

 تُمكّن هذه الاتصالات المستمرة المهاجمين من إرسال أوامر لعمليات الملفات، وتنفيذ أوامر النظام، واستعراض النظام، وتفعيل خادم وكيل SO5.

يستخدم هيكل الأوامر فواصل التجزئة المزدوجة لتحليل التعليمات، مما يدعم عمليات مثل إنشاء واجهات تفاعلية، وعرض محتويات المجلدات، ومعالجة الملفات، وإنشاء أنفاق شبكية.

يُمثل التهرب من الكشف جانبًا بالغ الأهمية في تصميم ZDr. إذ يُنفذ البرنامج الخبيث انتحال أسماء العمليات للتظاهر بأنه عمليات نظام شرعية، مما يُصعّب اكتشافه من خلال المراقبة التقليدية.

بالإضافة إلى ذلك، يُعدّل البرنامج الخبيث الطوابع الزمنية للملفات إلى 15 يناير 2016، في محاولة للتهرب من التحقيقات الجنائية الرقمية.

يُنفذ البرنامج الخبيث آليات إعادة التشغيل الذاتي باستخدام عمليات فرعية، مما يُعقّد جهود التحليل. تُبرز هذه التكتيكات المتطورة للتهرب الطبيعة المتقدمة لهذا التهديد، وتُسلط الضوء على أهمية مراقبة السلوك.