تتعرض خوادم Microsoft Exchange المكشوفة على الإنترنت لهجمات جديدة تهدف إلى اختراق بيانات اعتماد المستخدمين عبر حقن أكواد خبيثة في صفحات تسجيل الدخول. وقد أكدت شركة Positive Technologies، وهي شركة رائدة في مجال الأمن السيبراني، رصد هذا التهديد المتنامي الذي يستهدف المؤسسات حول العالم.
شملت أحدث التحليلات التي نشرتها الشركة تحديد نوعين مختلفين من برمجيات تسجيل المفاتيح (keyloggers) المكتوبة بلغة JavaScript، والتي تم اكتشافها في صفحة تسجيل الدخول الخاصة بـ Outlook. تهدف هذه البرمجيات إلى سرقة بيانات المستخدمين عن طريق اعتراض ضغطات المفاتيح.
هجمات تستهدف خوادم Microsoft Exchange
أشارت شركة Positive Technologies إلى أن الهجمات استهدفت حوالي 65 ضحية في 26 دولة مختلفة. ويمثل هذا امتداداً لحملة أمنية تم توثيقها للمرة الأولى في مايو 2024، والتي استهدفت بشكل مبدئي كيانات في أفريقيا والشرق الأوسط.
في ذلك الوقت، كشفت الشركة عن رصد ما لا يقل عن 30 ضحية، شملت جهات حكومية وبنوك وشركات تقنية ومؤسسات تعليمية، مع وجود أدلة تشير إلى أن الاختراق الأول يعود إلى عام 2021. ويعكس هذا استمرار الاستهداف لخوادم Microsoft Exchange.
آلية الهجوم وسرقة البيانات
تعتمد سلاسل الهجوم المكتشفة على استغلال ثغرات معروفة في خوادم Microsoft Exchange، مثل ثغرات ProxyShell، لإدخال أكواد برمجية خبيثة في صفحة تسجيل الدخول. لم يتم حتى الآن تحديد الجهة المسؤولة عن هذه الهجمات.
يقوم الكود الخبيث، الذي يكتب بلغة JavaScript، بقراءة ومعالجة البيانات المدخلة في نموذج المصادقة، ثم يقوم بإرسالها عبر طلب XHR إلى صفحة محددة على خادم Exchange المخترق. وبحسب الباحثين، فإن الشيفرة المصدرية للصفحة المستهدفة تحتوي على وظيفة معالجة تقرأ الطلب الوارد وتكتب البيانات إلى ملف على الخادم.
يتم تخزين البيانات التي تم جمعها بصيغة نص عادي. ومن ثم، يصبح الملف الذي يحتوي على البيانات المسروقة متاحاً عبر شبكة خارجية، مما يسهل على المهاجمين الوصول إليها. وتشمل بعض التقارير أيضاً وجود أنواع أخرى من البرمجيات الخبيثة التي تقوم بجمع ملفات تعريف الارتباط(cookies) الخاصة بالمستخدم، وسلاسل User-Agent، ورمز الوقت.
تعتبر هذه الطريقة فعالة للغاية نظراً لتقليل احتمالية اكتشافها، حيث لا يوجد حركة مرور صادرة لنقل المعلومات. ويسهم هذا التكتيك في زيادة صعوبة تتبع الهجمات.
طرق التفريق والإتصال
من جهة أخرى، يكشف تحليل لشركة Positive Technologies عن وجود آلية ثانية تستخدم روبوت تلجرام كنقطة تفريق للبيانات. يتم ذلك عبر طلبات XHR GET، حيث يتم تشفير اسم المستخدم وكلمة المرور وتخزينهما في رؤوس (headers) الطلب.
كما تتضمن طريقة أخرى اللجوء إلى نفق نظام أسماء النطاقات (DNS Tunneling) بالاشتراك مع طلب HTTPS POST. تهدف هذه التقنية إلى إرسال بيانات اعتماد المستخدم وتجاوز دفاعات المنظمة بسهولة.
من بين الخوادم المخترقة، تم العثور على 22 خادمًا لدى منظمات حكومية، تليها إصابات في شركات تقنية وشركات صناعية ولوجستية. وتأتي فيتنام وروسيا وتايوان والصين وباكستان ولبنان وأستراليا وزامبيا وهولندا وتركيا ضمن قائمة أبرز 10 دول مستهدفة.
ويؤكد الباحثون أن “عدداً كبيراً من خوادم Microsoft Exchange التي يمكن الوصول إليها من الإنترنت تظل عرضة لثغرات قديمة”. مضيفين أنه “من خلال تضمين الأكواد الخبيثة في صفحات المصادقة الشرعية، يتمكن المهاجمون من البقاء غير مكتشفين لفترات طويلة أثناء التقاط بيانات اعتماد المستخدم بصيغة نص عادي”.
تحديث: ربط الهجمات بمجموعة PhantomCore
في تحليل جديد نُشر في 15 أغسطس 2025، نسبت Positive Technologies برمجيات تسجيل المفاتيح إلى مجموعة القرصنة المعروفة باسم PhantomCore Malware. يستند هذا التقييم إلى تحليل للبنية التحتية للمهاجمين، بما في ذلك نطاق باسم “voen-pravo[.]online” الذي يستضيف أرشيفًا محميًا بكلمة مرور باسم “archiveCalculatorVyplatSetup_1.0.6.zip”.
يحتوي الملف على طلب مكتوب باستخدام إطار عمل Qt، يحاكي آلة حاسبة للدفعات، لكنه يتضمن شفرة خبيثة للتواصل مع خادم خارجي لاسترداد حمولة المرحلة التالية، وهي برمجية خبيثة تسمى PhantomDL، مرتبطة بـ PhantomCore.
وقال الباحث كليمينتي غالكين: “في الأشهر الأخيرة، تم التعرف على 10 ضحايا، توجد على خوادمهم برمجية تسجيل المفاتيح لـ Exchange التي كنا نعتبرها سابقة”. وأضاف: “جميع الضحايا هم شركات في روسيا تعمل في مجال استشارات تكنولوجيا المعلومات أو تطوير حلول تكنولوجيا المعلومات. تجاوز عدد الحسابات التي تم جمعها من أنظمة الضحايا 5000 حساب”.