حذرت شركة Amazon Threat Intelligence من حملة برمجيات فدية نشطة تستغل ثغرة أمنية حرجة تم اكتشافها مؤخرًا في برنامج Cisco Secure Firewall Management Center (FMC). وتشير التقارير إلى أن هذه الثغرة، والتي تحمل المعرف CVE-2026-20131، قد استُغلت كـ “ثغرة يوم الصفر” منذ أواخر يناير، قبل وقت طويل من الكشف عنها رسميًا من قبل سيسكو.
تتعلق الثغرة الخطيرة بـ “إلغاء التسلسل غير الآمن” لتدفق بايتات جافا المقدم من المستخدم، مما يسمح للمهاجمين بالوصول عن بعد وتنفيذ شفرات عشوائية بصلاحيات الجذر على الأجهزة المتأثرة. وقد تم اكتشاف هذه الحملة عبر شبكة Amazon MadPot العالمية لمراقبة التهديدات.
حملة Interlock ransomware تستهدف ثغرة Cisco الحرجة
أفادت Amazon، بحسب التقرير، بأن الاكتشاف الاستثنائي تم بفضل خطأ أمني غير مقصود من جانب المهاجمين، حيث انكشفت أدواتهم عبر خادم بنية تحتية سيئ التكوين. سمح هذا الانكشاف بإلقاء نظرة معمقة على سلسلة الهجوم متعددة المراحل، وأنظمة التحكم عن بعد المخصصة، وسكربتات الاستطلاع، وتقنيات المراوغة التي يستخدمونها.
تتضمن سلسلة الهجوم إرسال طلبات HTTP معدة خصيصًا إلى مسار معين في البرنامج المتأثر بهدف تنفيذ شفرة جافا عشوائية. بعد نجاح ذلك، يقوم النظام المخترق بإصدار طلب HTTP PUT إلى خادم خارجي لتأكيد الاختراق. ثم تُرسل الأوامر لجلب برنامج ثنائي (ELF binary) من خادم خارجي يحتوي على أدوات أخرى مرتبطة ببرمجية Interlock.
الأدوات والتقنيات المستخدمة في الحملة
تشمل قائمة الأدوات التي تم تحديدها عدة مكونات متطورة. من بينها، سكربت استطلاع مكتوب بلغة PowerShell يقوم بجمع معلومات تفصيلية عن بيئة ويندوز، بما في ذلك نظام التشغيل، الأجهزة، الخدمات قيد التشغيل، البرامج المثبتة، معلومات التخزين، وفهارس أجهزة Hyper-V الافتراضية.
كما تم رصد برامج تحكم عن بعد مصممة خصيصًا بلغة JavaScript و Java، توفر وصولاً تفاعليًا للصَدَفة، وتنفيذ أوامر عشوائية، ونقل الملفات ثنائي الاتجاه، وقدرات وسيط SOCKS5. تدعم هذه البرامج آليات التحديث الذاتي والحذف الذاتي للحفاظ على الأداء وتحدي التحقيقات الجنائية.
بالإضافة إلى ذلك، تم اكتشاف سكربت Bash لإعداد خوادم Linux كوسيط وصول عكسي (reverse proxy)، مما يخفي هوية المهاجم الحقيقية. يقوم هذا السكربت بتثبيت fail2ban، أداة مفتوحة المصدر لمنع الاختراق على Linux، ويقوم بتجميع وتشغيل HAProxy للاستماع على المنفذ 80 وتوجيه جميع حركة مرور HTTP الواردة إلى عنوان IP مستهدف محدد مسبقًا.
من جهة أخرى، يعمل سكربت آخر على مسح سجلات النظام بشكل متكرر، حيث يقوم بحذف محتويات ملفات .log ويزيل سجلات الأوامر لتقليل فرص اكتشافه. ويوجد أيضًا شل ويب يعمل في الذاكرة لفحص الطلبات الواردة بحثًا عن معلمات مشفرة تحتوي على أوامر، والتي يتم فك تشفيرها وتنفيذها.
وتم تحديد “منارة شبكة” خفيفة الوزن للتواصل مع البنية التحتية التي يتحكم بها المهاجم، ربما للتحقق من نجاح تنفيذ الشفرات أو التأكد من إمكانية الوصول إلى منافذ الشبكة بعد الاختراق الأولي. بالإضافة إلى ذلك، يتم استخدام ConnectWise ScreenConnect للوصول المستمر كمسار بديل في حال تم اكتشاف وإزالة نقاط الارتكاز الأخرى.
ترتبط هذه الأدوات ببرمجية Interlock ransomware بناءً على مؤشرات تقنية وعملياتية متقاربة، بما في ذلك ملاحظة رسالة الفدية وبوابة التفاوض عبر شبكة TOR. تشير الأدلة إلى أن المهاجمين ينشطون غالبًا في المنطقة الزمنية UTC+3.
توصيات أمنية عاجلة
في ضوء الاستغلال النشط للثغرة، توصي Amazon المستخدمين بتطبيق التحديثات الأمنية فورًا، وإجراء تقييمات شاملة للأمن لتحديد أي اختراقات محتملة. كما يُنصح بمراجعة عمليات نشر ScreenConnect للتأكد من عدم وجود تثبيتات غير مصرح بها، وتطبيق استراتيجيات دفاع متعدد الطبقات.
أكد CJ Moses، كبير مسؤولي أمن المعلومات في Amazon Integrated Security، أن التحدي الحقيقي يكمن في طبيعة ثغرات يوم الصفر، حيث يمكن للمهاجمين استغلالها قبل توفر التصحيحات. وأشار إلى أن برامج التصحيح الفعالة، رغم أهميتها، لا يمكنها توفير الحماية الكاملة خلال النافذة الحرجة بين ظهور الثغرة وتوفر التصحيح.
تأتي هذه التحذيرات في وقت كشفت فيه جوجل أن جهات التهديد السيبراني تغير تكتيكاتها استجابة لانخفاض معدلات الدفع، حيث تستهدف الثغرات في شبكات VPN وجدران الحماية الشائعة للوصول الأولي، وتميل إلى الاعتماد بشكل أقل على الأدوات الخارجية وبشكل أكبر على إمكانيات ويندوز المدمجة.
كما لوحظ أن العديد من المجموعات الإجرامية، سواء كانت مشغلي برامج الفدية أو الوسطاء الذين يبيعون الوصول الأولي، يستخدمون تكتيكات الإعلانات المضللة أو تحسين محركات البحث (SEO) لتوزيع حمولات البرامج الضارة. وتشمل التقنيات الأخرى الشائعة استخدام بيانات الاعتماد المخترقة، أو الأبواب الخلفية، أو برامج سطح المكتب البعيد الشرعية لإنشاء موطئ قدم، بالإضافة إلى الاعتماد على الأدوات المدمجة والمثبتة مسبقًا للاستطلاع، وتصعيد الامتيازات، والحركة الأفقية.