حملة تجسس سيبراني تستهدف اليابان عبر ثغرات Ivanti Connect Secure
كشفت تقارير أمنية حديثة عن شن مجموعة تجسس سيبراني تتخذ من الصين مقراً لها، حملة هجمات ممنهجة تستهدف شركات الشحن والنقل في اليابان. وتستغل المجموعة ثغرات أمنية حرجة في حلول Ivanti Connect Secure (ICS) كوسيلة رئيسية لاختراق الأنظمة المستهدفة. came the main keyword of the article.
تم اكتشاف هذه الحملة في أبريل 2025، وتعتمد على استغلال ثغرتين أمنيتين خطيرتين، وهما CVE-2024-21893 و CVE-2024-21887. تتيح هذه الثغرات للمهاجمين موطئ قدم داخل شبكات الشركات المستهدفة، ومن ثم نشر برمجيات خبيثة متعددة من عائلة PlugX، بما في ذلك سلالات جديدة تم رصدها لأول مرة مثل MetaRAT و Talisman PlugX.
تفاصيل الهجمات واستغلال الثغرات
تتبع سلسلة الهجمات آلية متطورة تبدأ بالتحكم في أنظمة Ivanti Connect Secure عبر استغلال الثغرات المذكورة. وبمجرد تمكن المخترقين من الوصول، يقومون بتثبيت برمجيات خبيثة على الأجهزة التي وقع عليها الاختيار.
بعد ذلك، يبدأ المهاجمون في إجراء عمليات استطلاع تفصيلية بهدف رسم خرائط للبيئة الشبكية وجمع بيانات الاعتماد الخاصة بالأنظمة المخترقة. هذه المعلومات ضرورية للمضي قدماً في عملية الاختراق.
تعتبر سرقة بيانات الاعتماد، وخاصة معلومات حسابات المسؤولين المتميزين في Active Directory، مفتاحاً أساسياً للمهاجمين. فهم يستخدمونها للتنقل الجانبي داخل البنية التحتية للشبكة المستهدفة، مما يوسع نطاق سيطرتهم.
وتتضمن المرحلة التالية نشر برمجيات PlugX المتنوعة بشكل منهجي على خوادم داخلية متعددة، وذلك للحفاظ على استمرارية الوصول وتوسيع نطاق السيطرة على البيئة المخترقة. هذا التكتيك يضمن بقاء المهاجمين داخل الشبكة لفترة طويلة.
تُظهر هذه الهجمات متعددة المراحل تخطيطاً دقيقاً وفهماً عميقاً لهياكل الشبكات المؤسسية. إن القدرة على التخفي والتصرف بشكل منهجي داخل الأنظمة المستهدفة تعكس مستوى عالٍ من الخبرة لدى المجموعة المهاجمة.
الكشف عن البرمجيات الخبيثة الجديدة
تمكن محللو الأمن السيبراني في LAC Watch من رصد البرمجيات الخبيثة بعد إجراء تحليل جنائي لأنظمة Ivanti المخترقة. وقد ساهمت هذه الجهود الكشفية في فهم طبيعة التهديدات.
تحليل أخطاء النظام
اكتشف المحللون سجلات أخطاء حرجة تحمل الرمز ERR31093، والتي تظهر عند معالجة أنظمة ICS لحمولات SAML غير صالحة، وهو ما يرتبط بشكل مباشر باستغلال الثغرة CVE-2024-21893.
بالإضافة إلى ذلك، كشف تشغيل أداة فحص السلامة عن وجود ملفات مشبوهة تتطابق مع توقيعات برمجيات خبيثة معروفة، مثل LITTLELAMB، WOOLTEA، PITSOCK، و PITFUEL. هذه الملفات سبق توثيقها في هجمات مماثلة.
MetaRAT: تطور في عائلة PlugX
تمثل MetaRAT تطوراً جديداً في عائلة برمجيات التروجان للوصول عن بعد PlugX. وتشير المعلومات إلى أن هذه السلالة البرمجية الخبيثة موجودة منذ عام 2022 على الأقل، لكنها ظلت غير مسماة حتى هذا الكشف.
أكد باحثو الأمن أن MetaRAT يتم تنفيذه عبر تقنية تحميل الـ DLL بالتحميل الجانبي (DLL side-loading)، وهي وسيلة تستغل عمليات ويندوز الشرعية لتحميل شفرة خبيثة.
يقوم مكون التحميل، المسمى mytilus3.dll، بتحميل ملف shellcode مشفر يسمى materoll. يتم فك تشفير هذا الملف باستخدام عمليات XOR مع قيمة مفتاح 0xA6، ثم يتم تنفيذ الـ shellcode المفكوك تشفيره في الذاكرة.
يقوم الـ shellcode بإجراء عملية فك تشفير إضافية باستخدام AES-256-ECB للحمولة المخزنة لـ MetaRAT، والتي يتم بعد ذلك ضغطها باستخدام LZNT1. هذا النهج متعدد الطبقات من التشفير والضغط يجعل اكتشاف البرمجية الخبيثة أكثر صعوبة لأدوات الأمان.
بمجرد فك ضغط حمولة MetaRAT في الذاكرة، يبدأ تنفيذ البرمجية الخبيثة الفعلية من خلال الوظائف المصدرة (exported functions). كما يتضمن MetaRAT آليات لتجزئة واجهات برمجة التطبيقات (API hashing) للحصول على وظائف Windows اللازمة، ويستخدم آليات مضادة للتصحيح (anti-debugging) تكتشف وتدمر مفاتيح فك التشفير عند وجود مصحح أخطاء.
توصيات أمنية عاجلة
يُنصح بشدة المؤسسات التي تستخدم إصدارات Ivanti Connect Secure المتأثرة بتطبيق التحديثات الأمنية فوراً. كما يجب عليها مراقبة أنظمتها بحثاً عن علامات الاختراق المحتملة.
قد يشير وجود تسجيلات خدمات مشبوهة مثل “sihosts” أو مفاتيح سجل تحمل اسم “matesile” إلى وجود إصابات نشطة ببرمجية MetaRAT. بالإضافة إلى ذلك، يمكن أن يساعد التحقق من وجود ملفات تسجيل ضغطات (keylog files) تسمى “VniFile.hlp” في مجلد %ALLUSERSPROFILE%mates في تحديد الأنظمة المتأثرة.