كشف تقرير حديث عن حملة مسح واسعة النطاق استهدفت أكثر من 240 ثغرة أمنية في الأنظمة المتصلة بالإنترنت، بهدف جمع بيانات حول الأهداف القابلة للاختراق. نفذت هذه الحملة في الفترة من 25 إلى 28 ديسمبر، مما يمثل تطوراً مقلقاً في استراتيجيات الجهات الفاعلة في مجال التهديدات، وخاصة فيما يتعلق بمراحل الوصول الأولي لعمليات برامج الفدية.
قامت الجهة المهاجمة بفحص الأنظمة المستهدفة بشكل منهجي، مع إرسال 11 نوعاً مختلفاً من الثغرات لكل نظام لتحديد نقاط الضعف. أظهرت الحملة سلوكاً منظماً، حيث تم فحص الأهداف على فترات زمنية تتراوح بين ثانية وخمس ثوانٍ، مما يشير إلى مستوى عالٍ من التخطيط والتنفيذ.
تُعد القدرة على استغلال أكثر من 240 ثغرة أمراً ذا دلالة، حيث تفوق هذه القدرة المعدلات المعتادة في حملات الاستطلاع. يشير هذا التكتيك إلى تركيز الجهات المهاجمة على بناء قاعدة بيانات شاملة للأنظمة الضعيفة، تمهيداً لبيعها لمجموعات برامج الفدية.
استغلال الثغرات الأمنية: تطور في أساليب الجهات الفاعلة
يشير تحليل حملة استغلال الثغرات الأمنية إلى تحول ملحوظ في عمليات برامج الفدية. فبدلاً من شن هجمات مباشرة، يبدو أن الجهات الفاعلة تعمل كوسيط في الوصول الأولي، حيث تقوم ببناء قوائم بالأنظمة القابلة للاختراق وبيعها لمجموعات برامج الفدية.
تُظهر البيانات المجمعة خلال هذه الأيام الأربعة مخزوناً مؤكداً للأهداف القابلة للاستغلال، ومن المرجح أن يؤدي ذلك إلى زيادة الهجمات المستهدفة على مدار العام القادم. جاء توقيت الحملة مدروساً، حيث استغل فترة الأعياد التي غالباً ما تشهد انخفاضاً في عدد فرق الأمن وقلة الانتباه لأنظمة الكشف.
من جهة أخرى، نجح محللو “Greynoise” في تحديد هذه الحملة من خلال اكتشاف أكثر من 57,000 نطاق فرعي غير مألوف مرتبط بمنصة “Interactsh” التابعة لمشروع “ProjectDiscovery”. وأشار الباحثون إلى أن الأدوات المستخدمة تتوافق مع “Nuclei”، وهو ماسح ثغرات مفتوح المصدر، ولكن تم تشغيله على نطاق صناعي.
تحليل البنية التحتية ومكافحة الكشف
أثبت تحليل بصمات شبكة JA4 والمعرف الآلي المشترك عبر 98% من المحاولات، صحة فرضية “Greynoise” بأن شخصاً واحداً كان يقف وراء الهجوم، وليس مجموعة منظمة. هذا التحليل المعمق ساعد في فهم طبيعة الحملة وتمييزها عن الهجمات الموزعة.
من ناحية أخرى، يثير اختيار الجهة المهاجمة لمزود خدمة مثل “CTG Server Limited” مخاوف كبيرة بشأن البنية التحتية المقاومة التي تستخدمها العمليات الإجرامية. يسيطر هذا المزود، المسجل في هونغ كونغ، على حوالي 201,000 عنوان IP عبر 672 بادئة، ويعمل بحد أدنى من تطبيق سياسات مكافحة الإساءة.
تُشكل الشبكة التي تم تحديدها سابقاً كمستضيف لنطاقات التصيد الاحتيالي ضمن البنية التحتية لشبكة “FUNNULL CDN”، وتعلن عن مسارات “bogon”، دليلاً على ممارسات غير سليمة في إدارة الشبكة، مما يجعلها جذابة للعمليات التي تتطلب بنية تحتية قادرة على مقاومة محاولات الحظر.
تنصح الشركات بفحص سجلاتها من تواريخ الحملة بحثاً عن اتصالات بعناوين IP المشبوهة 134.122.136.119 و 134.122.136.96، بالإضافة إلى استعلامات DNS للنطاقات ذات الصلة مثل oast.pro، oast.site، oast.me، oast.online، oast.fun، و oast.live. وفي حال اكتشاف أي تطابقات، يجب على المؤسسات افتراض أن المهاجمين قد أكدوا وجود ثغرات في شبكاتهم، وأن معلومات الوصول هذه قد تكون متاحة بالفعل للشراء في الأسواق السوداء.