كشفت جهة أمنية عن خادم مكشوف، تم تكوينه بشكل خاطئ، ويحتوي على مجموعة أدوات كاملة لبرامج الفدية “TheGentlemen” التابعة لإحدى الجهات التابعة، بما في ذلك بيانات اعتماد الضحايا التي تم جمعها ورموز مصادقة واضحة تستخدم لإنشاء أنفاق وصول عن بعد مخفية.
تُعد برامج الفدية “TheGentlemen” جزءًا من عمليات “برمجيات الفدية كخدمة” (RaaS)، حيث تقوم الجهات التابعة بتنفيذ هجمات باستخدام أدوات وبنية تحتية مشتركة. شهدت المجموعة استهدافًا للمنظمات في الأمريكتين وأوروبا والشرق الأوسط، مع قدرات تشمل بيئات ويندوز ولينكس وESXi.
تفاصيل حملة برامج الفدية “TheGentlemen”
تم اكتشاف الخادم المكشوف، الذي يحمل عنوان IP 176.120.22[.]127، وهو يعمل على المنفذ 80 ضمن بنية تحتية تابعة لـ Proton66 OOO، وهي منظومة مستقلة لها تاريخ ارتباط بحملات برامج الفدية SuperBlack وWeaXor وXWorm.
ضم الخادم 126 ملفًا موزعة على 18 دليلًا فرعيًا، بحجم إجمالي يقدر بـ 140 ميجابايت من المواد التشغيلية. تم تحديد هذا الخادم من قبل محللي Hunt.io في 12 مارس 2026، بناءً على مؤشرات الاختراق التي نُشرت سابقًا حول مجموعة برامج الفدية “TheGentlemen”.
تم تصنيف كل برنامج نصي تم تحليله على الخادم تلقائيًا على أنه ضار، ويندرج تحت فئتين: “استغلال” (Exploit)، والتي تشمل البرامج النصية التي تعدل الإعدادات الأمنية وتصعد الامتيازات، و”تكوين” (Config)، التي تحتوي على رموز مصادقة حساسة.
أظهر تحليل الملفات النصية المدعوم بالذكاء الاصطناعي روتينات تفريغ بيانات الاعتماد، وتسلسل تعطيل المدافع، ومسح سجلات الأحداث، وإعداد نفق ngrok، وآليات استمرارية عبر ملفات متعددة.
داخل برنامج النشر المسبق للفدية: z1.bat
يعتبر ملف z1.bat هو الأكثر كشفًا عن العمليات، وهو برنامج نصي دفعي بحجم 35 كيلوبايت يحمل أعلى عدد من مؤشرات البرامج الضارة بين جميع الملفات على الخادم. يجمع هذا الملف كل خطوات التحضير قبل التشفير تقريبًا في تنفيذ واحد، مصممًا للتشغيل مباشرة قبل نشر الفدية، حيث تكون السرعة أكثر أهمية من التخفي.
يبدأ البرنامج النصي بعملية منهجية لحذف وتعطيل الخدمات المرتبطة بأكثر من اثنتي عشرة شركة أمنية، بما في ذلك Sophos وKaspersky وTrend Micro وMcAfee وغيرها. يوسع هذا المنطق ليشمل تطبيقات المؤسسات مثل خدمات Microsoft Exchange وج قواعد بيانات Oracle و MySQL ونسخ متعددة من Tomcat وبنية Veeam الاحتياطية.
يضمن إيقاف هذه الخدمات تغطية تشفير قصوى لقواعد بيانات Exchange وملفات SQL Server ومخازن النسخ الاحتياطي. بالإضافة إلى إنهاء الخدمات، يقوم z1.bat بتنفيذ عملية تطهير واسعة للسجلات تستهدف إدخالات المنتجات الأمنية من ما يقرب من 20 بائعًا.
بالإضافة إلى ذلك، ينشئ البرنامج النصي مشاركات SMB مفتوحة على كل حرف محرك أقراص من C إلى K، مما يمنح وصولًا كاملاً لجميع المستخدمين، وهو ما يسمح للبرامج الضارة التي تعمل على أي مضيف مخترق بالوصول إلى جميع محركات الأقراص المشتركة عبر الشبكة.
يقوم البرنامج النصي بتثبيت عمليات إعادة توجيه مصحح أخطاء خيارات ملف الصورة على أدوات مساعدة Windows مثل sethc.exe و utilman.exe و Magnify.exe و HelpPane.exe، واستبدالها بـ cmd[.]exe. هذا يمثل بابًا خلفيًا كلاسيكيًا يعرف باسم “Sticky Keys”، والذي يسمح بفتح موجه أوامر بمستوى النظام مباشرة من شاشة تسجيل دخول Windows.
بالاقتران مع تمكين RDP، وتعطيل مصادقة مستوى الشبكة، وتعيين UAC على “إيقاف”، يخلق هذا وصولًا مستمرًا يبقى حتى بعد إزالة جميع أدوات الوصول عن بعد الأخرى. يختتم البرنامج النصي بحذف جميع نُسخ الظل للحجم، ومسح جميع قنوات سجلات أحداث Windows، وتنظيف سلة المهملات، وإنهاء جميع العمليات التي يزيد رقم تعريف العملية الخاص بها عن 1000، مما يؤدي إلى مسح بيئة التنفيذ لإطلاق البرامج الضارة.
.webp.jpeg)
يجب على فرق الأمن مراقبة عدة سلوكيات مرتبطة مباشرة بهذه المجموعة من الأدوات. على جانب نقطة النهاية، يجب مراقبة تنفيذ PowerRun، والتغييرات الشاملة في حالة خدمة Windows Defender، ومسح سجلات الأحداث بناءً على الدُفعات باستخدام wevtutil، والوصول إلى ذاكرة LSASS بما يتفق مع Mimikatz، وتعديلات IFEO Debugger على ملفات مساعدة Windows الثنائية، وتغييرات سجل WDigest، وإنشاء مشاركات شبكة مجمعة.
على جانب الشبكة، يجب حظر الاتصالات بالخادم المكشوف 176.120.22[.]127 ومراقبة نشاط نفق ngrok تجاه بنية ngrok التحتية. يجب إطلاق التنبيهات عند تنفيذ vssadmin.exe Delete Shadows، وأنماط تعطيل الخدمات الشاملة، وتعديلات سجل EnableLUA.
لتعزيز التكوين، يوصى بتمكين Credential Guard، والاحتفاظ بنسخ احتياطية غير قابلة للتغيير في وضع عدم الاتصال، وتمكين حماية نقطة النهاية من العبث، وتدقيق كائنات نهج المجموعة (Group Policy Objects) بحثًا عن تغييرات غير مصرح بها في Defender، وتنفيذ قائمة بيضاء للتطبيقات في الدلائل القابلة للكتابة للمستخدم.