حملة سيبرانية تستهدف قطاعات حيوية في الشرق الأوسط بعد مسح أكثر من 12 ألف نظام مكشوف  

كشفت وحدة استخبارات التهديدات في شركة Oasis Security عن نشاط سيبراني مكثف يمر بمراحل تشغيلية متعددة، حيث تظهر المؤشرات التقنية تقاطعاً لافتاً مع الأساليب المتبعة من قبل مجموعة MuddyWater. بدأت هذه الحملة بعمليات مسح شاملة استهدفت ما يزيد عن 12 ألف نظام متصل بشبكة الإنترنت، ثم انتقلت إلى مرحلة الاستهداف الدقيق لجهات ذات ثقل استراتيجي في منطقة الشرق الأوسط، شملت قطاعات الطاقة، والطيران، والمؤسسات الحكومية. وقد تجاوزت العمليات حدود الاستطلاع الأولي لتصل إلى استخراج بيانات حساسة من البيئات المخترقة، ومن بينها جهة تعمل في قطاع الطيران بجمهورية مصر العربية.

بدأ هذا النشاط المنسق في مطلع شهر فبراير 2025 وفق تراتبية زمنية وتقنية واضحة، حيث يمكن تقسيم الهجوم إلى المراحل التالية:

• المرحلة الأولى (الاستكشاف): ركزت على المسح الشامل واستكشاف الثغرات الأمنية في الأنظمة المتصلة بالشبكة.
• المرحلة الثانية (حصاد بيانات الاعتماد): استهدفت سرقة أسماء المستخدمين وكلمات المرور لتأمين الوصول غير المصرح به.
• المرحلة الثالثة (جمع البيانات): انتهى التسلسل بمرحلة جمع المعلومات وتجهيزها تمهيداً لنقلها خارج الأنظمة المستهدفة.

يعكس هذا النموذج التشغيلي استراتيجية تدمج بين الانتشار الأفقي الواسع والتركيز العمودي على أهداف منتقاة بعناية بناءً على قيمتها المعلوماتية والاستراتيجية.

آليات استغلال الثغرات والبنية التحتية للقيادة والسيطرة

اعتمد المهاجمون في عمليات المسح الأولي على استغلال 5 ثغرات أمنية حديثة في بيئات تقنية متنوعة، شملت خوادم البريد، وتطبيقات الويب، وأنظمة الأتمتة، وإدارة تقنية المعلومات. وتضمنت هذه الثغرات ما يلي:

• CVE-2025-54068 بتقييم CVSS عند 9.8: في إطار العمل Laravel Livewire.
• CVE-2025-52691 بتقييم CVSS عند 10: في خوادم البريد SmarterMail.
• CVE-2025-68613 بتقييم CVSS عند 9.9: في أداة الأتمتة n8n.
• CVE-2025-9316: مرتبطة بتوليد معرفات الجلسات في أنظمة الإدارة والمراقبة عن بُعد RMM.
• CVE-2025-34291 بتقييم CVSS عند 8.8: في منصة Langflow.

وتشير البيانات التقنية إلى أن المهاجمين انتقلوا بذكاء من مرحلة المسح الشامل إلى اختيار أهداف محددة للاستغلال الفعلي، بدلاً من استهداف جميع الأنظمة المكتشفة عشوائياً.

أما فيما يخص البنية التحتية للحملة، فقد ارتبطت بخادم استضافة يقع في هولندا يحمل العنوان الرقمي 157.20.182.49. وأظهر تحليل الملفات المخزنة عليه وجود مكونات لنظام القيادة والسيطرة، وهو المركز الذي يدير الأجهزة المخترقة عن بُعد.

احتوى الخادم أيضاً على نصوص برمجية تشغيلية تدعم عمليات المسح، وسرقة بيانات الدخول، وتجهيز الملفات للاستخراج؛ مما يؤكد وجود تنسيق تقني عالٍ بين مختلف مراحل الاختراق لضمان تحقيق الأهداف الاستراتيجية للحملة.

استهداف الهويات الرقمية وعمليات استخراج البيانات الحساسة

انتقل النشاط لاحقاً نحو استغلال بيانات الاعتماد المسروقة عبر تنفيذ هجمات تخمين كلمات المرور على واجهة Outlook Web Access، باستخدام أدوات متخصصة مثل owa.py وأداة Patator متعددة المهام. شملت هذه العمليات محاولات “تعداد” لأسماء المستخدمين داخل مؤسسات في مصر والإمارات وإسرائيل؛ حيث عُثر على قوائم تحتوي أزواجاً من بيانات الدخول، ما يدل على سعي مستمر لاختراق البريد الإلكتروني المؤسسي للوصول إلى المراسلات الداخلية.

سجلت التحقيقات حالات اختراق مؤكدة شملت:

• قطاع الخدمات: سرقة بيانات موظفين في مؤسسة مصرية متخصصة في مكافحة الحرائق.
• الحسابات الإدارية: رصد قوائم لحسابات إدارية تتبع جهة إماراتية، ما يثبت الاعتماد على “الهويات الرقمية” كنقطة نفاذ أساسية.
• قطاع الطيران: نجح المهاجمون في سحب نحو 200 ملف من جهة طيران مصرية، ضمت وثائق داخلية، وسجلات جوازات سفر وتأشيرات، وبيانات رواتب وبطاقات ائتمانية.

تعتمد البنية التقنية لإدارة الأنظمة المصابة على وحدات برمجية مكتوبة بلغات Python وGo، وتستخدم بروتوكولات اتصال متنوعة مثل TCP عبر المنفذ 5009، واتصالات HTTP تحاكي واجهات التطبيقات APIs.

وقد استخدم المهاجمون تقنيات تشفير متطورة لحماية نشاطهم، منها:

1. تشفير AES: في نمط CTR لحماية البيانات المتبادلة بين الضحية وخادم القيادة.
2. قيم تعريفية cid: توضع داخل ملفات تعريف الارتباط لتتبع الأجهزة الضحية بدقة.

تتطابق هذه الخصائص التقنية مع إطار ArenaC2 المرتبط بمجموعة MuddyWater. وبالرغم من رصد نشاط محدود في دول مثل الهند والبرتغال، ظل التركيز الأساسي موجهاً نحو القطاعات الحيوية في الشرق الأوسط لاعتبارات تشغيلية وجيوسياسية؛ ما يستوجب على الجهات المعنية تحديث الأنظمة المتأثرة فوراً ومراقبة الاتصالات الصادرة غير المعروفة بانتظام.