تشير التقارير العامة حول الهجمات السيبرانية غالبًا إلى صورة مصقولة، حيث يعمل المهاجمون بشكل منهجي وفق خطة مدروسة بدقة. إلا أن فحص سجلات أحداث ويندوز وبيانات الكشف عن نقاط النهاية والاستجابة يكشف عن واقع مختلف تمامًا، يوضح أن المهاجمين يواجهون صعوبات ويتعلمون من أخطائهم ويتكيفون باستمرار.
بين نوفمبر وديسمبر 2025، كشفت ثلاث حوادث هجوم سيبراني منفصلة قادها باحثون أمنيون عن كيفية تشكيل التجربة والخطأ لحملات البرامج الضارة في العالم الواقعي. هذه الحوادث تشتركت في اعتماد المهاجمين على استغلال ثغرات تطبيقات الويب للوصول الأولي، ثم محاولة نشر برامج ضارة مخصصة مع تعديل تكتيكاتهم باستمرار استجابةً لأنظمة الدفاع.
التكيف في مواجهة الهجمات السيبرانية
شملت الحوادث شركة تطوير عقاري، وشركة تصنيع، ومنظمة خدمات مشتركة للمؤسسات. عبر الأهداف الثلاثة، استغل المهاجمون عيوبًا في تطبيقات الويب التي تعمل على Microsoft Internet Information Server (IIS) لتنفيذ أوامر عن بعد. حدد محللو Huntress وجود حصان طروادة مكتوب بلغة Golang اسمه agent.exe في قلب هذه الهجمات، إلى جانب استخدام أدوات أخرى لتحقيق الثبات على الأنظمة المستهدفة.
ما جعل هذه الهجمات جديرة بالملاحظة ليس تعقيدها، بل الأدلة التي تشير إلى التعلم والأخطاء. في الحادث الأول، واجه المهاجمون اكتشافًا فوريًا عند محاولة تنزيل برامج ضارة باستخدام Windows Defender. في الهجمات اللاحقة، عدلوا نهجهم عن طريق إضافة استثناءات لـ Windows Defender بشكل استباقي قبل نشر حمولتهم. هذا النمط يدل على أن المهاجمين يتفاعلون مع العقبات بدلاً من تنفيذ خطط مثالية.
حاول المهاجمون مرارًا وتكرارًا إنشاء ثبات باستخدام خدمات ويندوز، لكن هذه الجهود غالبًا ما فشلت بسبب أخطاء في التكوين وقيود النظام. على الرغم من هذه الانتكاسات، استمر المهاجمون، وعادوا إلى نقاط النهاية المخترقة عدة مرات بأدوات وطرق مختلفة، وكشف كل محاولة عن إحباطهم من الحواجز الدفاعية.
آلية العدوى: استغلال تطبيقات الويب
حددت Huntress أن جميع الحوادث الثلاث بدأت بنفس نمط الثغرة الأساسي، حيث قامت عمليات خادم الويب IIS المخترقة بتنفيذ أوامر يتحكم بها المهاجم. لم يستخدم المهاجمون تقنية ويب تقليدية؛ بل استغلوا عيوبًا برمجية مباشرة داخل صفحات تطبيقات الويب لتحقيق تنفيذ الأوامر عن بعد.
في الحادث الأول، أظهرت سجلات الخادم طلب POST إلى صفحة تسجيل دخول أرجع رمز حالة نجاح (200)، تلاه مباشرة تنفيذ الأمر whoami.exe عبر عملية خادم الويب. دل ذلك على أن المهاجم وجد ثغرة تسمح بتنفيذ أوامر عشوائية دون الحاجة لتحميل ملف ويب. أصدر المهاجم بعد ذلك أوامر استطلاع قياسية: netstat، وفحص حسابات المستخدمين، واستعلامات تكوين الشبكة.
عند محاولة تنزيل برامج ضارة باستخدام certutil.exe، اعترض Windows Defender الأمر. بدلاً من التخلي عن النهج، نقل المهاجم ملفًا باسم 815.exe عبر آلية غير معروفة وحاول تنفيذه ثلاث مرات قبل النجاح أخيرًا، ليواجه العزل بعد تحديد الملف القابل للتنفيذ على أنه حصان طروادة مكتوب بلغة Golang.
في الحوادث اللاحقة، تعلم المهاجمون من الفشل. أصدروا أوامر PowerShell لإضافة استثناءات لملحقات ملفات البرامج الضارة الشائعة قبل نشر البرامج الضارة. أثبت هذا التكيف أهميته، حيث أظهر تعديل المهاجمين لسلوكياتهم بناءً على النكسات السابقة، حتى مع استمرارهم في إعادة استخدام آليات الثبات المعيبة التي فشلت في المحاولات السابقة.