عنوان IP الشبح: كيف أصبح عنوان مخفي مركز موجة استغلال Ivanti EPMM

بدأ الأمر كقطرات - ثم جاء الطوفان. في أوائل فبراير، لاحظ باحثو الأمن ارتفاعًا حادًا في الهجمات التي تستهدف ثغرات حرجة في Ivanti Endpoint Manager Mobile (EPMM). لكن بينما هرع المدافعون، برز إدراك مقلق: أكثر من 80% من نشاط الاستغلال يمكن تتبعه إلى عنوان IP غامض واحد فقط، مخفي خلف طبقات من الاستضافة «المضادة للإيقاف». الخطر الحقيقي؟ قد لا تعرف معظم فرق الأمن حتى ما الذي ينبغي البحث عنه.

حقائق سريعة

• أكثر من 80% من استغلال Ivanti EPMM تم تتبعه إلى عنوان IP واحد مخفي.
• عنوان الـIP، المسجل لشركة روسية، محمي ببنية استضافة «مضادة للإيقاف».
• العديد من مؤشرات الاختراق (IoCs) المتداولة شائعًا لا تكشف فعليًا نشاط Ivanti، ما يضلل المدافعين.
• الثغرات الحرجة (CVE-2026-1281 وCVE-2026-1340) تتيح تنفيذ تعليمات برمجية عن بُعد على أنظمة Ivanti EPMM غير المُرقّعة.
• تم اختراق منظمات كبرى، بما في ذلك هيئة حماية البيانات الهولندية والمفوضية الأوروبية، عبر هذه العيوب.

وفقًا لتقرير جديد من GreyNoise، وهي شركة استخبارات تهديدات للأمن السيبراني، فإن الغالبية العظمى من جلسات استغلال Ivanti EPMM بين 1 و9 فبراير صدرت من مصدر واحد فقط: عنوان IP تم تحديد موقعه الجغرافي في سانت بطرسبرغ، روسيا، ومسجل للكيان الغامض Prospero OOO. ما الذي يجعل تتبع هذا العنوان صعبًا إلى هذا الحد؟ إنه مخفي خلف ما يُعرف بالاستضافة «المضادة للإيقاف» - خدمة تحت الأرض صُممت لحماية الجهات الخبيثة من الرصد والإزالة، ما يجعلها شبه غير مرئية في خلاصات الأمن القياسية.

تحذر GreyNoise من أن الوضع أخطر مما يبدو. فالكثير من مؤشرات الاختراق (IoCs) المتداولة حاليًا بين المدافعين مضللة. وقال نوح ستون، رئيس المحتوى في GreyNoise: «المحلل الذي ينظر إلى تلك البنية سيرى حركة مرور Oracle بشكل طاغٍ، وقد يتم بسهولة تجاهل مكوّن Ivanti». في الواقع، لم تستهدف سوى 9% من الجلسات الصادرة من هذا العنوان Ivanti، بينما حاكى الجزء الأكبر نشاط Oracle WebLogic الشرعي. تعني تقنية التمويه هذه أن المؤسسات قد تكون عمياء عن التهديد الحقيقي، ما يترك الأنظمة مكشوفة حتى لو اعتقدت أنها محمية.

الثغرات التي تقف في قلب هذه الحملة - CVE-2026-1281 وCVE-2026-1340 - شديدة الخطورة على نحو خاص. فهي تتيح للمهاجمين تنفيذ تعليمات برمجية عشوائية عن بُعد على أجهزة Ivanti EPMM غير المُرقّعة، ما قد يؤدي إلى خروقات بيانات، أو برمجيات فدية، أو مزيد من اختراق الشبكات الداخلية. ورغم التحذيرات العاجلة ووجود رقعة «لا تستغرق سوى ثوانٍ لتطبيقها»، لا تزال كثير من المؤسسات عرضة للخطر. والأرقام صارخة: ففي يوم أحد واحد، سجلت GreyNoise 269 جلسة استغلال من هذا العنوان - أكثر من 10 أضعاف المتوسط اليومي السابق.

والأثر ملموس. فقد تعرضت جهات بارزة مثل هيئة حماية البيانات الهولندية والمفوضية الأوروبية بالفعل لاختراقات مرتبطة بهذه العيوب، مع تحقيقات كشفت عن احتمال تسرب بيانات حساسة للموظفين. وتفيد مؤسسة Shadowserver Foundation بوجود أكثر من 28,000 عنوان IP مصدر مشارك في نشاط ذي صلة، يأتي معظمها من شبكات الولايات المتحدة - وهو مؤشر على أن المهاجمين يستغلون بنية تحتية عالمية لإخفاء أصولهم الحقيقية.

ومع انقشاع الغبار، يتضح درس واحد: في عصر الاستضافة «المضادة للإيقاف» والخصوم المتطورين، يجب على المدافعين تجاوز المؤشرات الثابتة والاستجابة بسرعة للتهديدات المتغيرة. يظل تطبيق التصحيحات هو الدفاع الأكثر فاعلية. لكن مع ازدياد ذكاء المهاجمين، يجب أن نزداد ذكاءً نحن أيضًا - لأن الخطر الحقيقي أحيانًا هو ذلك الذي لا تراه على لوحة التحكم لديك.

WIKICROOK

• الاستضافة المضادة للإيقاف: الاستضافة المضادة للإيقاف هي خدمة استضافة ويب تتجاهل بلاغات الإساءة، ما يتيح للمجرمين استضافة محتوى غير قانوني أو خبيث مع مخاطر ضئيلة للإزالة.
• مؤشر الاختراق (IoC): مؤشر الاختراق (IOC) هو دليل، مثل ملف مشبوه أو عنوان IP، يشير إلى أن نظامًا ما قد يكون تعرض للاختراق.
• تنفيذ تعليمات برمجية عن بُعد: يتيح تنفيذ التعليمات البرمجية عن بُعد للمهاجمين تشغيل أوامر على جهازك من مسافة، وغالبًا ما يؤدي إلى اختراق كامل للنظام وسرقة البيانات.
• CVE (الثغرات والتعرّضات الشائعة): CVE هو مُعرّف عام فريد لثغرة أمنية محددة، يتيح تتبعها ومناقشتها بشكل متسق عبر صناعة الأمن السيبراني.
• جلسة: الجلسة هي تفاعل مؤقت بين مستخدم ونظام، يُتتبَّع عبر مُعرّفات فريدة، ما يتيح وصولًا آمنًا ومستمراً أثناء الأنشطة عبر الإنترنت.