كشفت تقارير أمنية حديثة عن موجة جديدة من الهجمات السيبرانية الموجهة التي تستهدف خوادم خدمات معلومات الإنترنت (IIS) في مناطق آسيوية، حيث ينشر المهاجمون برمجيات خبيثة متطورة لتعطيل الأنظمة الضعيفة.
تشير التقديرات إلى أن هذه الحملة، التي نشطت في أواخر عام 2025 وحتى أوائل عام 2026، تركز بشكل أساسي على ضحايا في تايلاند وفيتنام، مما يعكس تحولاً استراتيجياً نحو عمليات مخصصة لمنطقة معينة.
يستغل المهاجمون ثغرات غير مرقعة في خوادم IIS لحقن قذائف ويب خبيثة، وتنفيذ نصوص PowerShell، ونشر برمجيات BadIIS الخبيثة، التي تتضمن الآن تكوينات إقليمية مخصصة لتناسب دولاً محددة.
حملة هجمات تستهدف خوادم IIS في آسيا
تظهر الحملة نشاطاً متداخلاً مع عملية WEBJACK التي تم توثيقها سابقاً، حيث تشترك في مؤشرات مشتركة مثل بصمات البرمجيات الخبيثة، والبنية التحتية للقيادة والتحكم، وملامح الضحايا المستهدفين.
يستخدم المهاجمون قذائف الويب كنقطة انطلاق أولية، مما يمنحهم القدرة على تنفيذ الأوامر عن بعد على الخوادم المخترقة.
بعد الاختراق الناجح، يقومون بنشر نصوص PowerShell لتنزيل وتنفيذ أداة الوصول عن بعد GotoHTTP، مما يمنحهم وصولاً دائماً إلى الأنظمة المصابة.
تسمح سلسلة الإصابة متعددة المراحل هذه للمهاجمين بالحفاظ على وصول طويل الأمد مع تجنب الاكتشاف باستخدام أدوات إدارية مشروعة.
حدد محللو Cisco Talos الحملة بعد ملاحظة نشاط مشبوه عبر عمليات IIS متعددة في جنوب وجنوب شرق آسيا.
لاحظ الباحثون أن متغيرات BadIIS تتضمن الآن رموزاً للبلدان مباشرة في شفرتها المصدرية، مما يخلق إصدارات متخصصة لفيتنام (يتم تحديدها بواسطة علامات “VN”) وتايلاند (تحمل علامات “TH”).
تتضمن هذه المتغيرات المخصصة ملحقات ملفات خاصة بالمنطقة، وتكوينات صفحات ديناميكية، وقوالب HTML محلية تسهل الاحتيال عبر محركات البحث مع مراعاة تفضيلات اللغة المحلية.
يعكس تطور البرمجيات الخبيثة نهجاً أكثر استهدافاً مقارنة بالإصدارات السابقة. تقوم كل نسخة من BadIIS بتصفية حركة مرور الويب بناءً على رأس “Accept-Language” للتحقق من منطقة الزائر قبل تسليم الشحنات الخبيثة.
آليات البقاء وإنشاء الحسابات المخفية
عندما تزور زواحف محركات البحث المواقع المصابة، يتم إعادة توجيهها إلى مواقع قمار احتيالية، بينما يتلقى المستخدمون العاديون جافاسكريبت محقون يعيد توجيه متصفحاتهم بصمت إلى وجهات خبيثة.
بعد إنشاء الوصول الأولي، يقوم المهاجمون بإنشاء حسابات مستخدمين مخفية للحفاظ على سيطرة دائمة على الخوادم المخترقة.
استخدم المهاجمون في البداية حساباً يسمى “admin$”، لكنهم تحولوا إلى أسماء بديلة مثل “mysql$”، و”admin1$”، و”admin2$”، و”power$” بعد أن بدأت منتجات الأمان في اكتشاف نمط التسمية الأصلي.
تم تعيين امتيازات إدارية لهذه الحسابات، ويتم استخدامها لنشر إصدارات محدثة من برمجيات BadIIS الخبيثة في أدلة إقليمية محددة مثل “C:/Users/mssql$/Desktop/VN/” للعمليات التي تستهدف فيتنام، و”C:/Users/mssql$/Desktop/newth/” للهجمات التي تركز على تايلاند.
ينشر المهاجمون أيضاً أدوات مكافحة الطب الشرعي بما في ذلك Sharp4RemoveLog لمحو سجلات أحداث Windows، وCnCrypt Protect لإخفاء الملفات الخبيثة، وOpenArk64 لإنهاء عمليات الأمان على مستوى النواة، مما يضمن بقاء عملياتهم غير مكتشفة لفترات طويلة.