يشهد خبراء الأمن السيبراني مرحلة غير مسبوقة من تسارع قدرات القراصنة، بعدما تراجع متوسط زمن الانتشار داخل الشبكات، من لحظة الوصول الأولي حتى بدء الحركة الجانبية، إلى 18 دقيقة فقط خلال الفترة الممتدة بين يونيو وأغسطس 2025. يمثل هذا الرقم انخفاضاً حاداً مقارنة بالفترات السابقة، إذ سجل أسرع حادثة اختراق في ست دقائق فقط عندما تمكن مشغلو برنامج الفدية Akira من استغلال ثغرة في SonicWall VPN والانطلاق مباشرة نحو السيطرة الداخلية. هذا التسارع الخطير يعني أن نافذة اكتشاف الهجوم والرد عليه أصبحت في غاية الضيق أمام فرق الدفاع.
أوضحت تحليلات ReliaQuest أن هذا التغيير الجذري يرتبط بانتشار تقنيات الأتمتة المتقدمة واستخدام أدوات نظام شرعية بطريقة تتجاوز أنظمة الحماية التقليدية. ومع دمج أساليب الاختراق العابر عبر التصفح ووسائط التخزين USB مع تقنيات التمويه المتقدمة، يصبح المشهد السيبراني عرضة لاختراقات سريعة وحاسمة. تمثل هذه الاختراقات العابرة 34% من محاولات الدخول الأولي، لكن اللافت كان الارتفاع المقلق للهجمات القائمة على USB المرتبطة ببرمجية Gamarue، التي تستغل الثقة الضمنية في الأجهزة القابلة للإزالة. حيث تعتمد على إخفاء مكتبات الربط الديناميكي DLL الخبيثة بشكل يصعب اكتشافه، فيما تُقدَّم ملفات LNK ضارة بواجهة تحاكي ملفات مألوفة للمستخدمين.
وسط هذه التطورات، برزت برمجية Oyster باعتبارها التهديد الأبرز الذي أعاد تشكيل بيئة الأمن السيبراني بالكامل. وتعتمد هذه البرمجية على حملات تلاعب بمحركات البحث مدعومة بالذكاء الاصطناعي والأتمتة لاستهداف مدراء تقنية المعلومات بشكل مباشر، لما يشكله الوصول إلى حساباتهم من مفاتيح ذهبية لاختراق البنية التحتية الكاملة للمؤسسات. ولتوزيعها، تستخدم البرمجية تقنيات الإعلانات المضللة وتوفر نسخاً مزورة من أدوات تقنية شرعية مثل PuTTY عبر مواقع وهمية مقنعة مثل puttysystems[.]com.
استغلال ملفات النظام الموثوقة للهروب من الرصد التقليدي
تجاوزت برمجية Oyster حدود قدرات البرمجيات الخبيثة التقليدية من خلال استغلالها الاستراتيجي لملفات نظام Windows الموثوقة، خصوصاً rundll32.exe، التي أصبحت حجر الأساس في استراتيجيتها للتملص من الرقابة. تستخدم هذه الأداة لتشغيل مكتبات DLL خبيثة مثل twain_96.dll عبر مهام مجدولة بدقة تحاكي أنشطة الصيانة الاعتيادية، ما يجعل أنظمة التحليل السلوكي أقل قدرة على اكتشافها.
لا تعتمد البرمجية على المسارات التقليدية مثل تعديل السجلات أو إدخال ملفات بدء التشغيل، بل تنشئ مهاماً مجدولة تنشط في أوقات متغيرة بشكل عشوائي، لتمنح مظهر العمليات الشرعية. تستدعي هذه المهام rundll32.exe بوسائط محددة لتمرير الحمولة الضارة في إطار يخدع أنظمة الدفاع. وأكد محللو ReliaQuest أن Oyster مسؤولة وحدها عن 48% من الحوادث التي استخدمت تقنية Match Legitimate Name or Location، مستفيدة من استراتيجيات تسمية ووضع الملفات التي تربك الأدوات الأمنية والمحللين البشريين على السواء.
تعتبر قدرة البرمجية على التنكر في صورة ملفات نظام موثوقة نقلة نوعية في تقنيات التملص، ما يفرض على المؤسسات تعزيز قدراتها في المراقبة السلوكية المتقدمة ورصد الأنماط غير الاعتيادية بشكل أعمق وأكثر دقة.
