Netcrook Logo
👤 KERNELWATCHER
🗓️ 10 Feb 2026  

مخرّبون صامتون: قراصنة يسلّحون Ivanti EPMM بأبواب خلفية خفية في الذاكرة

سلالة جديدة من الهجمات السيبرانية تخترق بهدوء مديري الأجهزة المحمولة في المؤسسات، ممهدة الطريق لعمليات سطو رقمية مستقبلية.

في صباح بارد من فبراير 2026، استيقظت فرق تقنية المعلومات على تهديد لم تتمكن من رؤيته. لم تكن هناك مذكرات فدية، ولا أنظمة مُقفلة - فقط غزو صامت. كان القراصنة قد تسللوا متجاوزين الدفاعات الرقمية في أجهزة Ivanti Endpoint Manager Mobile (EPMM)، وزرعوا بذورًا رقمية لهجمات لم تزهر بعد. سلاحهم؟ أبواب خلفية خاملة، غير مرئية لمعظم العيون، جاهزة للاستغلال لاحقًا.

حقائق سريعة

  • استغل المهاجمون ثغرتين حرجتين في Ivanti EPMM: CVE-2026-1281 وCVE-2026-1340.
  • زُرعت البرمجية الخبيثة في الذاكرة لا على القرص، ما مكّنها من تفادي فحوصات مضادات الفيروسات القياسية.
  • تبقى الأبواب الخلفية غير نشطة حتى يتم تفعيلها عبر طلب HTTP مخصص بمفتاح سري.
  • تشير الأدلة إلى أن وسطاء الوصول الأولي يقفون وراء الحملة، ويبيعون موطئ قدم خفيًا لمجرمين آخرين.
  • إعادة تشغيل الخوادم المصابة أمرٌ أساسي - فالتحديثات وحدها لن تزيل التهديد المقيم في الذاكرة.

تشريح اختراق هادئ

لم تكن هذه جريمة إلكترونية من نوع «اقتحام وخطف» المعتاد. فبدلًا من تشفير الملفات أو سرقة البيانات مباشرة، اختار القراصنة الصبر. لقد استغلوا ثغرتين كُشف عنهما حديثًا في منصة EPMM من Ivanti، وزرعوا برمجية «محمّل مرحلي» عبر المسار الويب الغامض /mifs/403.jsp.

وعلى خلاف البرمجيات الخبيثة التقليدية، يختبئ هذا الزرع داخل ذاكرة الخادم دون أن يلمس القرص الصلب. وباسم صنف base.Info (من Info.java)، ينتظر بهدوء طلب HTTP محددًا للغاية - يحمل المفتاح k0f53cf964d387. عندها فقط يفك ترميز حمولة مخفية وينفذها، متجنبًا الكشف عبر أساليب غير مألوفة مثل اختطاف الدالة equals(Object)، وهي حيلة تتجاوز سجلات الأمان القياسية.

وقبل اتخاذ أي إجراء، تُجري البرمجية الخبيثة بصمة لبيئتها، فتتحقق من تفاصيل نظام التشغيل وملفات تعريف المستخدمين للتأكد من أنها هبطت في مكان يستحق. هذا الاستطلاع الحذر علامة دالة على وسطاء الوصول الأولي (IABs) - مجرمون سيبرانيون يتخصصون في الاختراق ثم بيع الوصول لعصابات الفدية أو مجموعات التجسس مقابل الربح.

ويعني طابع الحملة المتخفي أن كثيرًا من المؤسسات قد لا تعرف أنها تعرضت للاختراق. الدلائل الوحيدة: طلبات مشبوهة إلى /mifs/403.jsp أو سلاسل Base64 غريبة في السجلات، خصوصًا تلك التي تبدأ بـ yv66vg (وهي بصمة لملفات أصناف Java).

ماذا ينبغي على المدافعين فعله؟

  • تمشيط سجلات خادم الويب بحثًا عن زيارات إلى /mifs/403.jsp ونشاط Base64 غير معتاد.
  • إعادة تشغيل خوادم EPMM فورًا - فالتهديدات المعتمدة على الذاكرة تختفي عند إعادة التشغيل.
  • تطبيق تحديثات Ivanti الخاصة بـ CVE-2026-1281 وCVE-2026-1340 لمنع إعادة العدوى.

تشمل مؤشرات الاختراق قيمة SHA-256 فريدة (097b051c9c9138ada0d2a9fb4dfe463d358299d4bd0e81a1db2f69f32578747a) واتصالات بشبكة من عناوين IP دولية.

الخلاصة: مخاطر الصبر الرقمي

هذه الحملة تذكير صارخ: في الأمن السيبراني، الصمت ليس أمانًا. فأخطر الأعداء غالبًا هم الذين لا يمكنك رؤيتهم - أو لا تعرف أنك يجب أن تبحث عنهم. ومع ازدياد صبر القراصنة وتطورهم، يتعين على المدافعين تعلم اصطياد العلامات الهادئة للاختراق، وإلا خاطروا بترك الأبواب مفتوحة على مصراعيها لمهاجمي الغد.

WIKICROOK

  • باب خلفي: الباب الخلفي هو طريقة خفية للوصول إلى جهاز كمبيوتر أو خادم مع تجاوز فحوصات الأمان المعتادة، وغالبًا ما يستخدمه المهاجمون للحصول على تحكم سري.
  • وسيط الوصول الأولي (IAB): وسيط الوصول الأولي هو مجرم سيبراني يخترق الأنظمة ويبيع ذلك الوصول للآخرين، مما يتيح هجمات سيبرانية لاحقة.
  • الذاكرة: الذاكرة هي التخزين المؤقت في الكمبيوتر الذي يحتفظ بالبيانات والتعليمات النشطة. وهي هدف متكرر للهجمات السيبرانية الساعية إلى معلومات حساسة.
  • ترميز Base64: يحوّل ترميز Base64 البيانات إلى سلسلة نصية مقروءة، مما يسهل تضمين الملفات والشفرة أو نقلها داخل الأنظمة المعتمدة على النص.
  • SHA: ‏SHA (خوارزمية التجزئة الآمنة) هي مجموعة من دوال التجزئة التشفيرية التي تحمي سلامة البيانات وتُعد أساسية لسلاسل الكتل والأمن السيبراني.
Cybersecurity Ivanti EPMM Memory Backdoors
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news