الكشف عن الدول والقطاعات التي تم اختراقها عبر ثغرة يوم الصفر في SharePoint

كشفت شركة Eye Security الهولندية عن اختراق 396 نظاماً ضمن حملة استغلال واسعة لثغرة يوم صفر في Microsoft SharePoint تُعرف باسم ToolShell (CVE-2025-53770/53771). وقد أجرت الشركة تحليلاً شمل 27,000 خادم SharePoint بين 18 و23 يوليو، وأكدت أن الاختراق طال 145 جهة فريدة في 41 دولة.

تصدرّت الولايات المتحدة قائمة الضحايا بنسبة 31٪ من الهجمات، تلتها موريشيوس بنسبة 8٪، ثم ألمانيا (7٪) وفرنسا (5٪). وأشارت Eye Security إلى احتمال أن تكون موريشيوس هدفاً مركزياً نظراً لوجود جهات أمريكية حكومية نشطة في المنطقة.

كما رُصدت حالتا اختراق في الأردن، ووصفت الشركة حجم الهجمات عليهما بأنه غير معتاد ويشير إلى تركيز استثنائي.

الجهات الحكومية هدف رئيسي للهجوم

استحوذ القطاع الحكومي على 30٪ من الإصابات المؤكدة. وبينما لم تصدر تأكيدات رسمية، فقد أُشير إلى أن جهات أمريكية مثل وكالة الأسلحة النووية ووزارة الأمن الداخلي ووزارة الصحة والخدمات الإنسانية كانت من بين الضحايا المحتملين.

غالباً ما تعتمد المؤسسات الحكومية الكبرى على SharePoint محلياً لإدارة المعلومات، مما يُوفر لها تحكماً أكبر في البيانات. وقال لودي هينسن، نائب رئيس العمليات الأمنية في Eye Security: “من الواضح من البيانات أن هذه الحملة لم تكن عشوائية، بل كان المهاجمون يعلمون بدقة ما يبحثون عنه”.

وأوضحت الشركة أن المهاجمين لم يسعوا إلى استغلال كل الأنظمة الضعيفة، بل ركّزوا على كيانات تحمل قيمة استراتيجية أو استخباراتية، مما يُعزز فرضية أن الحملة كانت موجهة وذات أهداف محددة.

وشكل قطاع التعليم 13٪ من الضحايا، تلاه مزودو خدمات البرمجيات SaaS بنسبة 9٪، ثم قطاع الاتصالات والطاقة بنسبة 4٪ لكل منهما.

استمرار التهديد وتوسع استغلال الثغرة

تتوقع Eye Security استمرار استغلال الثغرة خلال الأسابيع المقبلة، مع احتمال تزايد تهديدات الفدية وسلاسل التوريد. وقد نسبت Microsoft الهجمات الأولية إلى جهات صينية مرتبطة بالدولة، مثل Linen Typhoon وViolet Typhoon وStorm-2603.

لكن النشاط الأحدث يُشير إلى أن الاستغلال لم يعد محصوراً في المجموعات المدعومة من الدول. وبحسب هينسن: “بمجرد أن تصبح ثغرة يوم صفر معروفة وتنتشر تفاصيلها التقنية، تبدأ جهات أخرى، سواء تابعة لدول أو لا، في استغلالها، بما في ذلك مجموعات إجرامية تبحث عن مكاسب مالية”.

وأوضحت Eye Security أن الكود الخبيث أصبح متاحاً الآن في أدوات مفتوحة المصدر مثل Metasploit، مما يجعل استغلال الأنظمة غير المحدثة سهلاً حتى للمهاجمين قليلي الخبرة.

ورغم أن Eye Security لم تنسب الهجمات لجهات إضافية، إلا أنها أكدت أن توفّر الأداة بشكل علني يجعل من المرجّح جداً أن فاعلين آخرين بدأوا فعلاً في استغلال الثغرة.

أبلغت الشركة عملاءها وشركاءها بالتهديد في 21 يوليو، وتحث الآن جميع الجهات التي تستخدم SharePoint محلياً على افتراض حدوث اختراق، والتحقق من تثبيت التحديثات، وإجراء عمليات بحث وتحليل معمق للتهديدات.