هاكرز صينيون يستخدمون وحدة "شادوباد" لتحويل خوادم مخترقة إلى نقاط انطلاق لشن هجمات

تواجه المنظمات حول العالم تهديداً سيبرانياً متزايداً بفعل مجموعات قراصنة تستخدم تقنيات متطورة لتحويل خوادم مخترقة إلى شبكة وصول غير محدودة. تستخدم هذه المجموعات، المعروفة باسم “Ink Dragon”، وحدة استماع مخصصة بـ ShadowPad مع خادم معلومات إنترنت (IIS) لإعادة توجيه حركة المرور الضارة بفعالية، مما يجعل من الصعب اكتشافها. يأتي هذا التطور وسط تقارير متزايدة عن هجمات سيبرانية معقدة تستهدف البنى التحتية الحيوية.

وفقاً لتقرير صادر عن محللي شركة “Check Point”، فإن هذه المجموعة، والتي تُعرف أيضاً باسم “Earth Alux” أو “REF7707″، قد حسّنت من أساليب عملها بشكل كبير. الهدف الأساسي هو استغلال ثغرات قديمة في برمجيات ASP.NET و SharePoint، مثل ثغرة ToolShell، لتحقيق تنفيذ تعليمات برمجية عن بعد. هذا يسمح للقراصنة بالسيطرة الكاملة على الأنظمة المخترقة.

تطور تقنيات مجموعة Ink Dragon

تشير التحليلات إلى أن مجموعة Ink Dragon لا تقتصر على سرقة البيانات فحسب، بل تستغل الخوادم المخترقة لدعم عملياتها الهجومية المستمرة ضد أهداف أخرى. هذا النهج يخلق بنية تحتية ذاتية الاستدامة تخفي المصدر الحقيقي للهجمات، وتزيد من فائدة كل أصل مخترق.

يُعد استخدام وحدة استماع ShadowPad المخصصة مع IIS آلية رئيسية في هذه الحملة، حيث تختلف عن برامج التجسس التقليدية. بدلاً من فتح منفذ بشكل مباشر، تستخدم الوحدة واجهة برمجة التطبيقات HttpAddUrl لتسجيل مستمعي URL ديناميكيين يعترضون طلبات HTTP محددة.

آلية عمل وحدة الاستماع ShadowsPad IIS

عندما يتطابق طلب معين مع النمط المحدد، تقوم الوحدة بفك تشفير الحمولة لتحديد ما إذا كانت أمراً. إذا لم يتطابق حركة المرور مع البروتوكول الخاص، تقوم الوحدة بإعادة توجيهها إلى عامل IIS الشرعي، الذي يقدم محتوى الويب العادي لتجنب إثارة الشكوك.

هذه المقاطعة الخفية تتيح للبرنامج الخبيث التعايش مع التطبيقات المشروعة دون تعطيل الخدمة. تعتمد الوحدة على روتين فك تشفير خاص لمعالجة الحزم الأولية، مما يضمن معالجة حركة مرور المشغلين المصرح لهم فقط. هذا يسمح للقراصنة بتطوير شبكة وصول مستخدمين البنية التحتية للضحايا، مما يعقد جهود تحديد المصدر والتصدي للهجمات.

علاوة على ذلك، تدعم هذه المنطقية في عمليات الترحيل بواسطة سجلات تصحيح مفصلة، والتي توثق نقل البيانات وتساعد المحللين على رسم خريطة بيانية أوسع للاتصالات. هذا يسمح للمهاجمين بربط الاتصالات عبر شبكات ضحايا غير ذات صلة، مما يزيد من تعقيد عملية تحديد الهوية. إن إعادة الاستخدام الاستراتيجية للأصول المخترقة تسلط الضوء على فلسفة تشغيلية ناضجة تركز على التخفي طويل الأمد والمرونة والتوسع المستمر لنطاق عملياتهم.

What's Hot

عملاء الذكاء الاصطناعي يكشفون 21 ثغرة صفرية في FFmpeg وجوجل كروم تعالج 429 خطأً

سايبر: ثغرة SolarWinds Serv-U في قائمة الثغرات الخطيرة المستغلة

اكتشاف ثغرة أمنية خطيرة في Cisco Catalyst SD-WAN Manager قيد الاستغلال النشط بلا تحديث

تطور تقنيات مجموعة Ink Dragon

آلية عمل وحدة الاستماع ShadowsPad IIS

قراصنة “فويد دوكايبى” يستخدمون مقابلات عمل وهمية لنشر برمجيات خبيثة عبر مستودعات الأكواد

قراصنة يسرقون جلسات تلغرام عبر سكريبت PowerShell مستضاف على Pastebin

قراصنة يستغلون صفحات “كابتشا” وهمية للاحتيال عبر الرسائل الدولية

مخترقون يستغلون أجهزة راوتر مخترقة لإخفاء عمليات صينية سيبرانية

مخترقو الفدية يطورون أداة خاصة لتسريب البيانات الحساسة

مخترقون يستخدمون روبوتات تيليجرام لرصد أكثر من 900 ثغرة React2Shell ناجحة

سايبر: ثغرة SolarWinds Serv-U في قائمة الثغرات الخطيرة المستغلة

اكتشاف ثغرة أمنية خطيرة في Cisco Catalyst SD-WAN Manager قيد الاستغلال النشط بلا تحديث

حصار الباحثين والموردين.. معركة متجددة في ظروف استثنائية

مخترقون يستغلون ثغرة بخوادم “إيفرست فورمس برو” للاستيلاء على المواقع

الطبقة الأخيرة بصمود

سيسكو تصلح ثغرة حرجة بالتحديث الرابع للأمن في وحدة الاتصالات الموحدة

عميلك الذكي قد يصبح أكبر تهديد داخلي لك

What's Hot

هاكرز صينيون يستخدمون وحدة “شادوباد” لتحويل خوادم مخترقة إلى نقاط انطلاق لشن هجمات

تطور تقنيات مجموعة Ink Dragon

آلية عمل وحدة الاستماع ShadowsPad IIS

Keep Reading