رصد باحثون في شركة «Securonix» للأمن السيبراني حملة تصيّد إلكتروني متقدمة استغلت خدمة «Cloudflare Tunnel» لإنشاء بنية تحتية هجومية خفية تمر عبر جدران الحماية دون أن تُكتشف. وقد أطلق الباحثون على الحملة اسم «Serpentine#Cloud»، مؤكدين أن هوية الجهة المنفّذة لا تزال مجهولة حتى الآن.
الحملة التي استهدفت ضحايا في الولايات المتحدة وبريطانيا وألمانيا وعدد من دول أوروبا وآسيا، استعرضت مستوىً عالياً من الإتقان في اللغة الإنجليزية، ما يرجح أن منفذيها يمتلكون معرفة عميقة بثقافة الجهات المستهدفة وبيئاتها التنظيمية.
الحمولة الخبيثة عبر نفق مشفّر
تكمن خطورة الحملة في استخدام المهاجمين لنطاق trycloudflare[.]com، وهو نطاق شرعي تابع لشركة Cloudflare ويُستخدم لربط الخوادم الداخلية بالإنترنت دون فتح المنافذ أو الكشف عن عناوين الشبكة. هذه البنية توفر قناة آمنة وسريعة للمهاجمين لنقل البرمجيات الخبيثة، دون أن تتمكن أدوات الفحص التقليدية من تحليلها.
وأوضح تيم بيك، الباحث الأمني في «Securonix»، أن الملف المرسل في البريد الإلكتروني يبدو كأنه ملف PDF، لكنه في الحقيقة ملف اختصار (.lnk) مصمم لتفعيل سلسلة متعددة المراحل من التعليمات البرمجية المخفية، تنتهي بتحميل برمجية خبيثة من نوع «حصان طروادة للتحكم عن بُعد» (RAT).
وأشارت الشركة إلى أن الشيفرة البرمجية يتم تنفيذها في الذاكرة عبر أدوات بايثون، دون أن تُكتب على القرص الصلب، ما يجعلها غير قابلة للرصد من خلال أدوات الحماية التقليدية أو أنظمة كشف التسلل القائمة على تحليل الملفات.
اختراق غير مرئي عبر الخدمات الموثوقة
ما يزيد من صعوبة التصدي لهذا النوع من الهجمات، أن نفق Cloudflare Tunnel مشفّر بالكامل عبر بروتوكول HTTPS، ولا يمكن فحص محتواه إلا باستخدام أدوات تحليل TLS، والتي تتطلب إعداداً مسبقاً غالباً ما يكون غير متاح في حالات الاتصال المؤقت.
ويُعد نطاق trycloudflare[.]com ضمن البنية التحتية العالمية لشبكة CDN التابعة لـ Cloudflare، وهو نطاق موثوق لا يُحظر في القوائم السوداء الاعتيادية، مما يتيح للمهاجمين التهرب من الرقابة.
ولفت التقرير إلى أن الحظر الكلي للنطاق أمر غير عملي، إذ يؤدي إلى تعطيل خدمات شرعية تعتمد عليه، كما أن النطاقات التي يستخدمها المهاجمون تُنشأ بسرعة وتُغيَّر باستمرار، ما يجعل تتبعها شبه مستحيل.
الحماية الممكنة… محدودة
أكدت شركة «Securonix» أن أكثر الإجراءات فعالية في الوقت الحالي تتمثل في مراقبة تنفيذ البرمجيات من مواقع غير معتادة، وتفعيل سجلات الأحداث على مستوى نقاط النهاية، وإظهار امتدادات الملفات في نظام التشغيل Windows للكشف عن التنكر في الامتدادات.
كما أوصت الشركة بالتعامل مع أي روابط خارجية على أنها مشبوهة، وتقييد مرفقات البريد الإلكتروني، والاستفادة من منصات التعاون الداخلي مثل Microsoft Teams كبديل لتبادل الملفات خارجياً.
