داخل سحابة ICE: كيف يحوّل القراصنة خوادم MS‑SQL إلى أسلحة رقمية
العنوان الفرعي: مجموعة جريمة إلكترونية مُصِرّة تصعّد هجماتها على خوادم Microsoft SQL، ناشرةً برمجية ماسح جديدة مبنية بلغة Go ضمن حملة محسوبة.
في الزوايا المعتمة من الإنترنت، تُحوِّل مجموعة اختراق لا تعرف الكلل خوادم Microsoft SQL الضعيفة بهدوء إلى منصة لإطلاق الفوضى الرقمية. أداتهم الأحدث: ICE Cloud Client، برمجية ماسح خبيثة ببرودة اسمها، تُعلن فصلاً جديداً في السردية المستمرة للجريمة الإلكترونية التي تستهدف البنية التحتية الحيوية. وبينما تسير الشركات نائمةً نحو 2026، يبقى المهاجمون مستيقظين - ويتطورون.
تشريح هجوم يتطور
المجموعة المعروفة باسم Larva-26002 ليست جديدة على ساحة الجريمة الإلكترونية. فقد رُصِدت لأول مرة وهي تنشر برمجيات الفدية Trigona وMimic في عام 2024، ومنذ ذلك الحين وهي تُحسّن تكتيكاتها باستمرار، مستهدفةً خوادم Microsoft SQL التي تُترك مكشوفة ببيانات اعتماد ضعيفة أو افتراضية. طريقتهم جريئة ومنهجية في آنٍ واحد: ما إن يدخلوا، حتى يُجروا أوامر استطلاع لرسم خريطة لأرضهم الرقمية الجديدة - متحققين من كل شيء، من أسماء المضيفين إلى اتصالات الشبكة النشطة.
ما يميّز هذه الحملة هو براعتها التقنية. تُسيء Larva-26002 استخدام برنامج النسخ بالجملة (BCP)، وهو أداة شرعية في SQL Server، لحقن حمولات خبيثة مباشرة داخل قواعد البيانات. تُخفى البرمجية الخبيثة في جداول تبدو بريئة، ثم تُستخرج لاحقاً كملفات تنفيذية - طريقة ذكية لتجاوز الدفاعات التقليدية. وعندما يفشل BCP، ينتقلون بسلاسة إلى تكتيكات تنزيل بديلة باستخدام curl أو bitsadmin أو PowerShell.
الحمولة الأولية، التي تُسمّى عادةً api.exe، تعمل كأداة تنزيل لـ ICE Cloud Client. كُتبت هذه البرمجية بلغة Go، وتتنكّر باسم “ICE Cloud Launcher” وتتصل بخادم تحكم وسيطرة (C2) بعيد. هناك، تتلقى قائمة بعناوين IP المستهدفة، وبيانات اعتماد افتراضية (لا سيما “ecomm/ecomm”)، وتعليمات إضافية. ثم تحاول البرمجية الخبيثة كسر الوصول بالقوة الغاشمة إلى مزيد من خوادم MS‑SQL، وتُبلّغ عن النجاحات إلى مُشغّلها - مؤتمتةً فعلياً انتشار الاختراق.
تلمّح تفاصيل دقيقة إلى استمرارية عمليات المجموعة ورقيّها التقني. فسلاسل نصية باللغة التركية المضمّنة في الملف التنفيذي تعكس حملات Mimic السابقة لبرمجيات الفدية، بينما يوحي وجود رموز تعبيرية في سجلات التنفيذ باستخدام الذكاء الاصطناعي التوليدي لتمويه الشيفرة أو تطويرها. وعلى الرغم من الأدوات الجديدة، ظلّت بنية المجموعة التحتية ومعرّفاتها متسقة لسنوات، ما يؤكد استراتيجية التطور لا إعادة الاختراع.
الدفاع ضد عاصفة ICE
إن التحول من برمجيات الفدية إلى الانتشار القائم على الماسح دالّ: يبدو أن Larva-26002 عازمة على توسيع موطئ قدمها، ماسحةً الإنترنت بحثاً عن مزيد من الأنظمة الضعيفة قبل إطلاق هجمات لاحقة. بالنسبة للمدافعين، الرسالة واضحة - الرضا عن النفس مكلف. يجب على المؤسسات فرض كلمات مرور قوية ومتغيرة دورياً، وتقييد الوصول الخارجي إلى قواعد البيانات، ومراقبة الاستخدام المشبوه لأدوات الإدارة، وإبقاء حلول الأمن محدّثة. من دون يقظة، قد يكون فحص ICE Cloud التالي جارياً بالفعل على شبكتك.
الخلاصة
حملة ICE Cloud تذكير صارخ بأن الجريمة الإلكترونية ليست تهديداً ثابتاً. ومع قيام المهاجمين بصقل أساليبهم وأتمتة عملياتهم، يجب على المدافعين مجاراتهم وإلا خاطروا بالتخلف. في معركة السيطرة على البنية التحتية الرقمية الحيوية، لم تكن المخاطر - ولا البراعة - أعلى من أي وقت مضى.
WIKICROOK
- MS: غالباً ما تشير MS إلى Microsoft أو MS‑DOS، وهو نظام تشغيل مبكر من Microsoft كان يستخدم أوامر نصية قبل الواجهات الرسومية مثل Windows.
- Brute: هجوم القوة الغاشمة هو أسلوب اختراق آلي يجرّب فيه المهاجمون العديد من كلمات المرور أو المفاتيح حتى يعثروا على الصحيح للحصول على وصول غير مصرح به.
- Bulk Copy Program (BCP): برنامج النسخ بالجملة (BCP) هو أداة في Microsoft SQL Server لنقل البيانات بسرعة، لكن يمكن للمهاجمين إساءة استخدامها لنقل البيانات أو البرمجيات الخبيثة.
- Command: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالباً من خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحياناً لأغراض خبيثة.
- Payload: الحمولة هي الجزء الضار من الهجوم السيبراني، مثل فيروس أو برنامج تجسس، يُسلَّم عبر رسائل بريد إلكتروني أو ملفات خبيثة عندما يتفاعل الضحية معها.
