مخترقو "جيميون" يستغلون ثغرة "إيفلتوين" صفر-يوم في ويندوز لحقن برمجيات خبيثة خفية

كشفت تقارير أمنية حديثة عن نشاط متزايد لمجموعة التهديدات السيبرانية المعروفة باسم “Water Gamayun“، والتي تستغل ثغرة أمنية جديدة في أنظمة ويندوز تحمل اسم “MSC EvilTwin”. تستهدف حملات هذه المجموعة مؤسسات حكومية وتجارية بهدف سرقة المعلومات الحساسة والحفاظ على وجود طويل الأمد داخل شبكاتها.

تم رصد هذه الهجمات التي بدأت في العام 2025، باستخدام تكتيكات متطورة تشمل استغلال ملفات تنفيذية موثوقة وتشفير عميق لإخفاء البرمجيات الخبيثة عن أنظمة الحماية الحديثة. غالباً ما تبدأ هذه الهجمات بخداع المستخدمين من خلال مستندات مزيفة تحمل عناوين وظيفية.

Water Gamayun تستغل ثغرة MSC EvilTwin في ويندوز

تبدأ عملية الهجوم عادةً بزيارة المستخدم لموقع ويب مخترق. يقوم الموقع بعد ذلك بنقل الضحية بشكل خفي إلى نطاق مشابه، حيث يتم تحميل ملف مضغوط بصيغة RAR يبدو كملف PDF، بعنوان “hiringassistant.pdf.rar”.

عندما يفتح المستخدم هذا الملف، يتم تفعيل حمولة خبيثة تستغل ثغرة MSC EvilTwin. تقوم هذه الحمولة بإنشاء ملف MSC خاص يتم تحميله بواسطة ملف mmc.exe، والذي بدوره ينفذ أوامر PowerShell مخفية عبر الهندسة المعمارية الخاصة بـ TaskPad snap-in.

وفقاً لمحللي أمن Zscaler، تتبع الحملة نهجاً فريداً يمزج بين سلسلة من الأرشيفات المحمية بكلمة مرور، وكود لإخفاء النوافذ، وتنفيذ تدريجي للحمولة لإخفاء آثارها عن المستخدمين وأدوات الكشف الآلية.

من جهة أخرى، عزت فرق البحث في Zscaler هذه الحملة إلى مجموعة “Water Gamayun” بناءً على عدة مؤشرات قوية. تشمل هذه المؤشرات الاستخدام النادر لثغرة EvilTwin، وتشفير مخصص لأوامر PowerShell، واستخدام مستندات وهمية لتقليل الشكوك.

آلية الهجوم متعددة المراحل

تعتمد منهجية “Water Gamayun” على عملية إصابة متعددة الطبقات. بعد فتح ملف RAR المخادع، تقوم الحمولة بكتابة ملف MSC إلى القرص.

عند تنفيذه، يقوم mmc.exe بتفسير هذا الملف باستخدام بيانات snap-in خبيثة لتشغيل أوامر PowerShell مشفرة عبر TaskPad. يقوم سكريبت PowerShell هذا، وهو المرحلة الأولى، بتحميل أدوات شرعية مثل UnRAR.exe، ثم يصل إلى أرشيفات محمية بكلمة مرور تحتوي على حمولات إضافية.

تقوم هذه السكريبتات بتنفيذ أوامر مثل:

-EncodedCommand JABX… | iex

يقوم سكريبت المرحلة الثانية بتجميع وحدة .NET لإخفاء نوافذ البرمجيات الخبيثة، ويعرض ملف PDF وهمي، ثم يضع الملف التنفيذي النهائي المسمى ItunesC.exe. وهذا الملف يتيح استمرارية التهديد على المدى الطويل من خلال تشغيل نسخ متعددة وإخفاء الاتصالات الشبكية مع عناوين IP خارجية.

تسلط هذه الحملة الضوء على كيفية استغلال التشفير المتقدم والتنفيذ متعدد المراحل لتجنب الكشف. لذلك، يصبح من الضروري للمدافعين رصد الملفات ذات الامتدادات غير الشائعة، واستخدام PowerShell المشفر، وسلاسل العمليات المشبوهة، وتسجيل النشاط الشبكي لأي بنية تحتية مماثلة.

What's Hot

عملاء الذكاء الاصطناعي يكشفون 21 ثغرة صفرية في FFmpeg وجوجل كروم تعالج 429 خطأً

سايبر: ثغرة SolarWinds Serv-U في قائمة الثغرات الخطيرة المستغلة

اكتشاف ثغرة أمنية خطيرة في Cisco Catalyst SD-WAN Manager قيد الاستغلال النشط بلا تحديث

Water Gamayun تستغل ثغرة MSC EvilTwin في ويندوز

آلية الهجوم متعددة المراحل

قراصنة “فويد دوكايبى” يستخدمون مقابلات عمل وهمية لنشر برمجيات خبيثة عبر مستودعات الأكواد

قراصنة يسرقون جلسات تلغرام عبر سكريبت PowerShell مستضاف على Pastebin

قراصنة يستغلون صفحات “كابتشا” وهمية للاحتيال عبر الرسائل الدولية

مخترقون يستغلون أجهزة راوتر مخترقة لإخفاء عمليات صينية سيبرانية

مخترقو الفدية يطورون أداة خاصة لتسريب البيانات الحساسة

مخترقون يستخدمون روبوتات تيليجرام لرصد أكثر من 900 ثغرة React2Shell ناجحة

سايبر: ثغرة SolarWinds Serv-U في قائمة الثغرات الخطيرة المستغلة

اكتشاف ثغرة أمنية خطيرة في Cisco Catalyst SD-WAN Manager قيد الاستغلال النشط بلا تحديث

حصار الباحثين والموردين.. معركة متجددة في ظروف استثنائية

مخترقون يستغلون ثغرة بخوادم “إيفرست فورمس برو” للاستيلاء على المواقع

الطبقة الأخيرة بصمود

سيسكو تصلح ثغرة حرجة بالتحديث الرابع للأمن في وحدة الاتصالات الموحدة

عميلك الذكي قد يصبح أكبر تهديد داخلي لك

What's Hot

مخترقو “جيميون” يستغلون ثغرة “إيفلتوين” صفر-يوم في ويندوز لحقن برمجيات خبيثة خفية

Water Gamayun تستغل ثغرة MSC EvilTwin في ويندوز

آلية الهجوم متعددة المراحل

Keep Reading