رد بالك: Backdoor جديد بسميت DEEP#DOOOR كيستهدف Cloud والباسوردات ديال الـ Browser

بالنسبة للدراري ديال الـ Tech فالمغرب، وبالخصوص الناس اللي خدامين على الـ Cloud ولا كيجيريو Infrastructure محلية، خرجات واحد التهديد جديد خاصنا نردو ليه البال مزيان. الباحثين فـ Securonix يلاه كشفو على DEEP#DOOR، وهو واحد الـ Backdoor متطور مصاوب بـ Python، هدف ديالو الأساسي هو التجسس طويل الأمد وسرقة الـ Credentials.

خلاصة الموضوع (TL;DR)

DEEP#DOOR هو واحد الـ Malware "خفيف وضريف" كيتخبى مزيان، وكيستعمل خدمة "bore.pub" (ديال الـ Tunneling) باش يدوز من تحت الرادار ديال الدفاعات الكلاسيكية. كيبدا بـ Script Batch خبيث كيوقف الـ Security ديال Windows، كيجبد Payload ديال Python مدفون فيه، وكيمشي نيشان للمعلومات الحساسة بحال الـ Credentials ديال AWS، Azure، و Google Cloud. وخا هاد الحملة كتبان مستهدفة وماشي عشوائية، ولكن الطريقة باش مصاوب (Modular) كتخليه خطر كبير على أي واحد خدام فـ Cybersecurity.

---

كيفاش كيدوز الاختراق: من Batch لـ Backdoor

على حساب ما قالو الباحثين Akshay Gaikwad، Shikha Sangwan، و Aaron Beardslee، هاد الـ Attack كيبدا بواحد الـ Batch Script سميتو install_obf.bat. غالبا كيوصل عن طريق Phishing، وخا الطريقة باش كيتصيفط بضبط باقي ما معروفاش 100%.

غير كيخدم هاد الـ Script، كيدير شلا حوايج خطيرة:

1. توقيف الـ Security: كيـ Disable لـ Microsoft Defender وكيـ Bypass لـ Windows SmartScreen.
2. extraction ديال الـ Payload: كيجبد واحد الـ Python Script سميتو svc.py اللي كيكون مخبي وسط الـ Dropper نيت. هاد الطريقة لي كاتسمى "Fileless" كتخلي الـ Malware ما يحتاجش يتيليشارجي الـ Payload الرئيسي من Server برا، وهكدا كيزيد يصعاب على الـ Network Monitors يعيقو بيه.
3. Persistence (بش يبقا لاصق): باش يضمن الـ Malware بلي غادي يبقى خدام وخا تطفى وتشعل الـ Machine، كيدير واحد المجموعة ديال الطرق:
   • Scripts فـ Startup folder.
   • Registry Run keys (داكشي اللي كيخلي Windows يديماري البرامج بوحدو).
   • Scheduled tasks (مهام مبرمجة).
   • وكيدير حتى WMI subscriptions اختيارية، باش الـ Script يخدم غير تطرأ شي حاجة فـ System.

كيفاش كيهرب من الـ Detection؟

DEEP#DOOR مصاوب باش "يطير تحت الرادار". بالنسبة لـ Sysadmins و SOC Analysts فالمغرب، مهم بزاف تفهمو هاد التكتيكات اللي كيخدم بها:

• Patching ديال AMSI و ETW: هاد الـ Malware كيدير "Patch" لـ Antimalware Scan Interface (AMSI) و Event Tracing for Windows (ETW).
  • ملاحظة تقنية: AMSI هو اللي كيخلي الـ Antivirus يراقب الـ Scripts (بحال PowerShell ولا Python) وهي خدامة. ETW هو اللي كيسجل الـ System Events فـ Kernel. ملي الـ Malware كيدير ليهم Patch، راه بحال كيعمي عينين ديال الـ Security Tools.
• Anti-Analysis: كيقدر يعرف راسو واش خدام فـ Sandbox، ولا Debugger، ولا Virtual Machine (VM)، وكيحبس راسو باش ما يحللوهش الباحثين.
• Infrastructure Camouflage: فبلاصة ما يـ Connecter لـ IP مشبوه، DEEP#DOOR كيستعمل bore.pub، وهي خدمة Tunneling قانونية ومصاوبة بـ Rust. هادشي كيخلي الـ Traffic ديال Command and Control (C2) يبان بحال أي Traffic عادي وسط الشركة، ومكيحبسوهش الـ Firewalls.

الهدف: سرقة الـ Credentials والتجسس

ملي كيشد بلاصتو، DEEP#DOOR كيولي Remote Access Trojan (RAT) كامل مكمول. ما كيبقاش غير جالس، بل كيبدا يجمع فالمعلومات الغالية:

• Cloud Infrastructure: كيستهدف بضبط الـ Credentials ديال Amazon Web Services (AWS)، Google Cloud، و Microsoft Azure. هادي هي أكبر مخاطرة بالنسبة لـ Startups والشركات المغربية اللي كيحولو الـ Data ديالهم لـ Cloud.
• Browsers و OS: كيشفر الـ Passwords و Cookies اللي مسجلين فـ Google Chrome و Mozilla Firefox، وحتى الـ Secrets اللي فـ Windows Credential Manager.
• تجسس كامل: الـ Hacker يقدر يبدا الـ Keylogging (يسجل اش كتكتب)، يراقب الـ Clipboard، يصور الـ Screen، يخدم الـ Webcam، وحتى يسجل الصدا ديال الـ Microphone.

الحالة الراهنة

فأبريل 2026، الباحثين كيشيرو بلي الاستعمال ديال DEEP#DOOR باقي محدود و"مستهدف". لحد الساعة، ما كاينش دليل واضح على اشمن Shift ولا منطقة جغرافية (بما فيها المغرب) اللي مستهدفة بضبط. واضافة لهادشي، مازال ما معروفش عدد الناس اللي تآنسطالا عندهم الـ Malware ولا شكون هي الـ Threat Actor اللي ورا هادشي.

نصائح تقنية للوقاية

باش تحمي الـ Environment ديالك من DEEP#DOOR والتهديدات اللي بحالو، كنصحو بـ:

1. مراقبة الـ Tunneling Services: راقب لـ Network ديالك وشوف واش كاينين Connection خارجين لخدمات بحال bore.pub.
2. Audit ديال الـ Persistence: راقب ديما الـ Registry Run keys فـ HKCU\Software\Microsoft\Windows\CurrentVersion\Run والـ Scheduled Tasks.
3. Endpoint Visibility: قلب على أي Patching غير قانوني لـ AMSI ولا أي محاولة لتوقيف الـ PowerShell logging.
4. WMI Monitoring: استعمل Tools باش تراقب الـ WMI event subscriptions، حيت الأغلبية كينساوهم فـ Security Audits.
5. التوعية بالـ Phishing: بما أن البداية كتكون بـ Batch script، خاص الـ Teams ديالكم يكونو واعيين وما يتيليشارجيو أي .bat ولا .zip من ايميلات ما معروفينش.

DEEP#DOOR كيبين بلي التهديدات غادة وكتميل لـ Modular Frameworks اللي كتعرف تخدم بمكونات الـ System نيت باش ما تخليش أثر وراها. أحسن حاجة هي اليقظة ومراقبة التقنيات ديال "Living off the land".

المصدر: The Hacker News - New Python Backdoor Uses Tunneling Service to Steal Browser and Cloud Credentials