تم استغلال ثغرة أمنية حرجة تم إصلاحها مؤخراً في خدمة تحديثات خادم ويندوز (WSUS) لتوزيع برمجيات خبيثة تُعرف باسم ShadowPad. يأتي هذا التطور ليكشف عن تزايد التهديدات السيبرانية التي تستهدف البنية التحتية الحيوية للشركات والمؤسسات.
يقوم المهاجمون باستهداف خوادم ويندوز التي تم تفعيل خدمة WSUS عليها، مستغلين عيباً أمنياً يحمل المعرف CVE-2025-59287 للدخول الأولي إلى الأنظمة. بعد ذلك، يستخدمون أداة PowerCat، وهي أداة مفتوحة المصدر تعتمد على PowerShell، للحصول على موجه أوامر النظام. ثم يقومون بتحميل وتثبيت ShadowPad باستخدام أدوات مثل certutil و curl.
ثغرة WSUS واستغلالها لتوزيع ShadowPad
بحسب تقرير صادر عن مركز AhnLab للأمن السيبراني، فإن الثغرة CVE-2025-59287، والتي عالجتها مايكروسوفت الشهر الماضي، تُمثل خللاً حرجا في خدمة WSUS يسمح بتنفيذ تعليمات برمجية عن بعد بصلاحيات النظام. وقد شهدت هذه الثغرة استغلالاً مكثفاً من قبل المجرمين السيبرانيين.
تُستخدم الثغرة لتأمين الوصول الأولي إلى خوادم WSUS المكشوفة على الإنترنت، وإجراء عمليات استطلاع، بل وحتى إسقاط أدوات مشروعة مثل Velociraptor. هذا الاستغلال يفتح الباب أمام المهاجمين للتوسع داخل الشبكات المستهدفة.
آلية الهجوم وتوزيع البرمجيات الخبيثة
في الهجمات التي وثقتها شركة الأمن السيبراني الكورية الجنوبية، يقوم المهاجمون بتسليح الثغرة لإطلاق أدوات ويندوز مثل “curl.exe” و “certutil.exe”. تتواصل هذه الأدوات مع خادم خارجي (“149.28.78[.]189:42306”) لتحميل وتثبيت برمجية ShadowPad الخبيثة.
تُعد ShadowPad، التي يُعتقد أنها خليفة لبرمجية PlugX، باباً خلفيًا نمطيًا تستخدمه مجموعات القراصنة المرتبطة بالصين بكثرة. ظهرت هذه البرمجية لأول مرة عام 2015، ووُصفت بأنها “تحفة فنية من البرمجيات الخبيثة المباعة بشكل خاص في عمليات التجسس الصينية”.
بعد إتاحة شفرة الاستغلال التجريبية (PoC) لهذه الثغرة للجمهور، سارع المهاجمون لتسليحها وتوزيع برمجية ShadowPad الخبيثة عبر خوادم WSUS. تُعتبر هذه الثغرة حرجة بشكل خاص لأنها تسمح بتنفيذ تعليمات برمجية عن بعد بصلاحيات النظام، مما يزيد الأثر المحتمل للهجوم بشكل كبير.
بمجرد تثبيتها، تقوم البرمجية الخبيثة بتشغيل وحدة أساسية مسؤولة عن تحميل وحدات إضافية مضمنة في شفرة shellcoin إلى الذاكرة. تحتوي البرمجية أيضاً على مجموعة متنوعة من تقنيات مكافحة الكشف والاستمرارية داخل النظام المستهدف.