اكتشفت «وحدة 42» عينات من نوع جديد من برامج التجسس وأطلقت عليه اسم «LANDFALL». كانت تلك العينات مضمنة في ملفات صور DNG (Digital Negative) مشوهة الشكل، مرفقة بأرشيف ZIP. تم استخراج الحمولة (برنامج التجسس) وتشغيلها عندما قامت مكتبة صور سامسونج المعرضة للثغرات الأمنية بتحليل الصورة.  

من خلال بيانات التعريف وعناوين IP، لا يبدو أن الحملة عبارة عن برمجيات خبيثة واسعة النطاق، بل تبدو موجهة. ويبدو أن الضحايا يتركزون في أجزاء من الشرق الأوسط (المغرب، إيران، العراق، تركيا، إلخ).  

 الثغرة الأمنية (الجوهر التقني)  

تؤدي مشكلات الكتابة خارج النطاق في مكتبة معالجة الصور libimagecodec.quram.so الخاصة بـ Samsung إلى تنفيذ تعليمات برمجية عشوائية عن بُعد. حصل هذا الخلل على درجة خطورة عالية وتم تخصيص الرمز CVE-2025-21042 له (CVSS 8.8). تعني هذه الثغرة الأمنية أنه يمكن استخدام صورة مشوهة لجعل الجهاز ينفذ تعليمات برمجية عشوائية.  

تم تضمين أرشيف ZIP في صورة DNG، وعندما أخطأ المحلل المعرض للخطر في معالجة الصورة، قام باستخراج وتنفيذ التعليمات البرمجية من ملفات المكتبة المشتركة (.so) الموجودة في الأرشيف. هكذا تم إطلاق LANDFALL وتنفيذه.  

 طريقة التسليم — لماذا كان هذا خطيرًا  

من المحتمل أن تكون ملفات DNG الضارة قد أُرسلت باستخدام WhatsApp (أشارت Unit 42 إلى أن نمط الهجوم يشبه استغلالات الصور السابقة التي لا تتطلب النقر). كانت الثغرة الأمنية في تحليل الصور تعني أن الاستغلال كان لا يتطلب النقر (لم تكن الضحية بحاجة إلى التفاعل مع الصورة) إذا قام برنامج المراسلة أو الهاتف بتحليل الصورة أو إنشاء صورة مصغرة لها تلقائيًا.

وهذا ما يجعلها خفية وقوية.  

 ما يمكن أن يفعله LANDFALL (القدرات)  

تُظهر Unit 42 وتقارير أخرى أن LANDFALL يوفر قدرات مراقبة شاملة مشابهة لبرامج التجسس التجارية:  

الوصول إلى الصور والملفات وجهات الاتصال وسجلات المكالمات.  

تسجيل الصوت من الميكروفون.  

الإبلاغ عن الموقع الدقيق (GPS).  

إرسال البيانات إلى خوادم القيادة والتحكم التي يتحكم فيها المهاجم.

تشير أطر المراقبة الموصوفة هنا إلى ما يُسمى بقدرات LANDFALL "ذات المستوى التجاري".  

الأجهزة المتأثرة  

تُظهر سجلات القياس عن بُعد الخاصة بوحدة 42 أن عدة طرازات من هواتف Samsung Galaxy قد تأثرت. أشارت التقارير على وجه التحديد إلى سلسلة Galaxy S22 وS23 وS24، بالإضافة إلى Z Fold 4 وZ Flip 4 كبعض طرازات Fold وFlip. كانت الثغرة الأمنية تتعلق بإصدارات متعددة من مكتبة معالجة الصور الخاصة بشركة Samsung، وظلت قائمة حتى أصدرت Samsung تصحيحًا.  

 الجدول الزمني للأنشطة وسد الثغرات  

ذكر تقرير وحدة 42 أن تحليل نشاط LANDFALL بدأ في منتصف عام 2024، حيث تم التقاط عينات في عام 2024 وأوائل عام 2025 وتحميلها على VirusTotal.  

في عام 2025، أصدرت سامسونج تصحيحًا لـ CVE-2025-21042. كما أشارت Unit 42، تم بالفعل إصلاح الثغرة الأمنية من قبل سامسونج في أبريل 2025. تم إصلاح CVE-2025-21043، وهي ثغرة أمنية أخرى ذات صلة في نفس المكتبة، بعد ذلك. لا ينبغي أن تكون أي أجهزة تم تحديثها بعد تلك التصحيحات عرضة لهذا الاستغلال المحدد.  

 الإسناد  

إن تصنيف Unit 42 لـ LANDFALL على أنه "ذو مستوى تجاري" يعني أنه من المحتمل أن يكون برنامجًا ضارًا أنتجته و/أو باعته شركة مراقبة، وليس مجرمًا إلكترونيًا من المستوى المنخفض. ومع ذلك، لم يتم الإعلان عن هوية أو تسمية الشركة أو الدولة المتورطة في الهجمات. من الشائع أن يتحفظ الباحثون في تحديد الهوية ما لم يمتلكوا أدلة قوية.

 المؤشرات المحتملة للاختراق (IoCs) والأدلة ذات الصلة

في التحليل الجنائي للأجهزة، قد تصادف ملفات صور DNG مشوهة تم إلحاق أجزاء ZIP بها. 

قد تكون هناك أيضًا روابط صادرة إلى بعض عناوين IP أو نطاقات مشبوهة خاصة بالقيادة والتحكم، كما هو موضح في ملحق Unit 42. 

قد توجد أيضًا سجلات غير متوقعة لاستخدام الميكروفون، أو ملفات ثنائية جديدة أو مكتبات مشتركة في مساحة تخزين التطبيقات، وتباينات داخل التطبيقات فيما يتعلق باستخدام غير عادي للبطارية أو البيانات. 

يرجى الرجوع إلى الملحق الفني لوحدة 42 للحصول على عناوين IP الدقيقة، والتجزئات، وأسماء الملفات. كما توفر قواعد YARA الواردة في التقرير هذه المعلومات. 

 الردع والكشف (خطوات عملية) 

للتخفيف من المخاطر، سيتعين على الجميع اتخاذ بعض الخطوات (الهواتف/المستخدمون العاديون): 

قم بتحديث هاتفك. قم بتثبيت تحديثات الأمان الخاصة بـ Samsung/Android، والتي تستبعد الخلل الذي استغله LANDFALL (اعتبارًا من أبريل 2025). من خلال إجراء هذا التحديث، ستقوم بمسح الثغرة الأمنية المحددة. 

امتنع عن فتح الصور الواردة من مرسلين مجهولين. حتى لو كان ذلك بدون نقرات، لا تقم بحفظ أو عرض الصور غير الموثوق بها واحذف أي ملفات مشبوهة. 

استخدم متاجر التطبيقات الرسمية وتأكد من تحديث التطبيقات (بما في ذلك تطبيقات المراسلة) بانتظام.

إذا شعرت أن جهازك قد تعرض للاختراق (سلوك غير عادي، استنزاف سريع للبطارية، أو تكاليف بيانات زائدة غير مبررة)، فقم بإعادة ضبط المصنع بعد نسخ ملفاتك الأكثر أهمية احتياطيًا، وقم بتغيير جميع كلمات المرور المهمة على جهاز آخر. إذا كنت تعتقد أنك قد تكون هدفًا عالي الخطورة، فيجب عليك الحصول على مساعدة متخصصة.  

بالنسبة للمؤسسات/فرق الأمن:  

قم بتقييم وتطبيق تصحيحات أمان Samsung في أسرع وقت ممكن، وتأكد من حالة التصحيحات على جميع الأجهزة المدارة.  

قم بتنفيذ نظام الكشف عن التهديدات للأجهزة المحمولة/EDR، وابحث عن آثار الملفات والانحرافات السلوكية التي تم تسجيلها في تقرير Unit 42.  

تحقق من القياسات عن بُعد لمجالات/عناوين IP الخاصة بمؤشرات التهديد (IoC) وقم بتطبيق الحظر المناسب.  

إذا لاحظت نشاطًا مشبوهًا، فشارك مؤشرات الاختراق (IOC) مع فرق الاستجابة للحوادث وفرق الاستجابة للطوارئ الأمنية الوطنية (CSIRT).  

ما مدى خطورة هذا الأمر؟ (تقييم المخاطر)  

إنها خطيرة من الناحية التقنية: إن الجمع بين ثغرة يوم الصفر، والنقر الصفر، والمراقبة الكاملة له تأثير كبير على الأفراد المستهدفين.  

محدود من الناحية العملية: وذلك لأنه تم استخدامه في حملات مستهدفة، وليس في تفشي تجسس جماعي واسع النطاق. بالنظر إلى أن تصحيحات هذه الثغرة الأمنية تم إصدارها في أبريل 2025، فإن الخطر المباشر على المستخدمين الذين لديهم أجهزة محدثة منخفض. ومع ذلك، ستظل الأجهزة التي لم يتم تصحيحها أو الأجهزة القديمة معرضة للخطر.