تحذير سيبراني: تهديد جديد يستهدف جهات حكومية وعسكرية في جنوب شرق آسيا عبر استغلال ثغرة cPanel
كشفت تقارير حديثة عن ظهور جهة تهديد سيبراني غير معروفة سابقاً، تستهدف بشكل منهجي جهات حكومية وعسكرية في جنوب شرق آسيا، بالإضافة إلى عدد محدود من مزودي الخدمات المدارة (MSPs) ومقدمي خدمات الاستضافة في الفلبين ولاوس وكندا وجنوب أفريقيا والولايات المتحدة. وتتركز الهجمات الحديثة على استغلال ثغرة أمنية حرجة تم الكشف عنها مؤخراً في نظام cPanel.
ثغرة cPanel تفتح الباب أمام هجمات جديدة
رصدت شركة Ctrl-Alt-Intel نشاطاً مشبوهاً بدأ في الثاني من مايو 2026، يتعلق بإساءة استخدام المعرف CVE-2026-41940. هذه الثغرة، التي تم اكتشافها في cPanel ومدير WebHost (WHM)، تسمح للمهاجمين عن بعد بتجاوز آليات المصادقة واكتساب صلاحيات مرتفعة على لوحة التحكم.
تشير التحليلات إلى أن الهجمات تأتي من عنوان IP محدد، وهو 95.111.250[.]175. ويركز المهاجمون بشكل خاص على اختراق النطاقات الحكومية والعسكرية المرتبطة بالفلبين (مثل *.mil.ph و *.ph) ولاوس (*.gov.la)، وكذلك مزودي الخدمات المدارة وشركات الاستضافة. وقد تم استخدام أدوات ومفاهيم متاحة علناً (PoCs) لتنفيذ هذه الهجمات.
هجمات سابقة على قطاع الدفاع الإندونيسي
قبل استهداف ثغرة cPanel، قامت الجهة المهاجمة بتنفيذ سلسلة هجمات مخصصة ضد بوابة تدريب لقطاع الدفاع الإندونيسي. استخدم المهاجمون في هذه الحالة مزيجاً من حقن SQL المصرح به وتنفيذ التعليمات البرمجية عن بعد، وذلك بالاستفادة من بيانات اعتماد صالحة كانت بحوزتهم مسبقاً للبوابة المعنية.
وبحسب Ctrl-Alt-Intel، فإن البرنامج النصي المستخدم في هذه الهجمات كان يعتمد على بيانات اعتماد ثابتة، ويتجاوز آلية CAPTCHA من خلال قراءة القيمة المتوقعة لـ CAPTCHA من ملف تعريف الارتباط الخاص بالجلسة الصادر من الخادم، بدلاً من حل التحدي بشكل طبيعي.
بعد تجاوز المصادقة واجتياز CAPTCHA، ينتقل المهاجم إلى وظيفة إدارة المستندات. يتم حقن تعليمات SQL في حقل اسم المستند عند إرسال البيانات إلى نقطة نهاية حفظ المستندات.
استخدام أدوات متقدمة للتحكم والانتشار
خلصت التحليلات الإضافية إلى أن الجهة المهاجمة تستخدم إطار عمل القيادة والتحكم (C2) المسمى AdapdixC2 للسيطرة عن بعد على الأنظمة المخترقة. كما يستخدمون أدوات مثل OpenVPN و Ligolo لتسهيل الوصول المستمر إلى الشبكات الداخلية للضحايا.
وأضافت Ctrl-Alt-Intel أن المهاجم قام ببناء طبقة وصول دائمة باستخدام OpenVPN و Ligolo وآليات استمرارية في نظام systemd. وبعد ذلك، استخدم هذا الوصول للتسلل إلى شبكة داخلية وسرقة كمية كبيرة من وثائق قطاع السكك الحديدية الصيني.
نطاق الهجمة والجهات المتورطة
لا يزال الهوية الحقيقية وراء هذه الحملة الإلكترونية غير معروفة حتى الآن. يأتي هذا التطور في وقت كشفت فيه Censys عن أدلة تشير إلى أن ثغرة cPanel يتم استغلالها من قبل جهات متعددة في غضون 24 ساعة من الكشف العام عنها. وشمل ذلك نشر نسخ من روبوت Mirai وفصيلة برامج فدية تسمى Sorry.
وفقاً لبيانات من منظمة Shadowserver Foundation، شارك ما لا يقل عن 44,000 عنوان IP، يُعتقد أنها مخترقة عبر CVE-2026-41940، في عمليات مسح وهجمات عنف ضد أجهزة الرصد الخاصة بالمنظمة في 30 أبريل 2026. وبحلول الثالث من مايو، انخفض هذا العدد إلى 3,540.