حقائق سريعة

• Triofox، حل خوادم الملفات السحابية، تعرض لثغرة خطيرة (CVE-2025-12480) سمحت بالسيطرة الكاملة على النظام.
• استغل القراصنة خللاً في فحوصات الوصول، حيث خدعوا البرنامج ليمنحهم صلاحيات المدير دون الحاجة إلى كلمة مرور.
• استخدم المهاجمون ميزة مكافحة الفيروسات المدمجة لتشغيل سكريبتات خبيثة بصلاحيات SYSTEM، وهي أعلى مستوى امتياز في ويندوز.
• تم نشر أدوات الوصول عن بُعد مثل Zoho Assist وAnyDesk للتحكم الخفي والتنقل الجانبي داخل الشبكة.
• تم إصدار تصحيح، لكن لوحظت هجمات تستهدف إصدارات Triofox القديمة حول العالم.

مضاد الفيروسات الطروادي: نوع جديد من الاستغلال

تخيل حارس أمن، بدلاً من منع المتسللين، يفتح لهم الأبواب بهدوء. هذا بالضبط ما حدث للمؤسسات التي تستخدم Triofox، خادم الملفات السحابية الشهير للمؤسسات، عندما حول القراصنة برنامج مكافحة الفيروسات المدمج فيه إلى منصة لإطلاق هجوم شامل على النظام.

في يوليو 2025، أطلقت مجموعة استخبارات التهديدات في Google إنذاراً حول ثغرة حرجة - CVE-2025-12480 - تتواجد في منطق التحكم بالوصول في Triofox. هذه الثغرة، التي حصلت على درجة خطورة 9.1 على مقياس CVSS، سمحت للمهاجمين بتجاوز المصادقة بالكامل عبر إرسال طلبات مصممة بذكاء تظهر وكأنها قادمة من "localhost"، أي عنوان الخادم نفسه. إذا لم يكن إعداد التكوين البسيط (TrustedHostIp) مفعلاً - وهو أمر غالباً ما يتم تجاهله - فإن البرنامج يمنح صلاحيات المدير دون أي تحقق.

داخل الهجوم: من مكافحة الفيروسات إلى الباب الخلفي

بحلول أغسطس، كانت مجموعة تهديد تُعرف باسم UNC6485 تستهدف بالفعل خوادم Triofox غير المحدثة. كانت طريقتهم أنيقة بقدر ما هي مقلقة. أولاً، خدعوا النظام لمنحهم الوصول إلى صفحة إعداد المدير. من هناك، أنشأوا حساب مشرف جديد وقاموا بتحميل سكريبت خبيث.

المفاجأة؟ قاموا بتكوين ماسح مكافحة الفيروسات في Triofox لتشغيل هذا السكريبت، مما يعني أنه تم تنفيذه بنفس صلاحيات النظام الكاملة. مثل الذئب في ثياب حمل، أصبح برنامج مكافحة الفيروسات أداة للمهاجم، حيث أطلق أداة PowerShell لتنزيل Zoho UEMS - برنامج إدارة المؤسسات. من خلال ذلك، قام القراصنة بتثبيت Zoho Assist وAnyDesk بهدوء، وهما أداتان شرعيتان للوصول عن بُعد، مما منحهم وصولاً دائماً وسرياً إلى الأنظمة المصابة.

ولإخفاء آثارهم وتوسيع نطاقهم، استخدم المهاجمون أدوات Plink وPuTTY - وهي أدوات غالباً ما تُستخدم للاتصالات الآمنة - لإنشاء أنفاق خفية داخل الشبكة، مستهدفين منفذ RDP (بروتوكول سطح المكتب البعيد) لمزيد من الاستغلال.

ديجا فو: نمط مألوف في الجريمة الإلكترونية

هذه ليست المرة الأولى التي يتم فيها تسليح برامج الأمان. ففي عام 2022، استغل القراصنة في اختراق SolarWinds الشهير أدوات تكنولوجيا المعلومات الموثوقة لأغراض التجسس. وبالمثل، قامت عصابات برامج الفدية لسنوات باختطاف برامج الإدارة عن بُعد الشرعية لتجاوز ضوابط الأمان وتفادي الاكتشاف. حادثة Triofox تذكرنا من جديد بأن أي أداة - even لو كانت مصممة للحماية - يمكن أن تصبح خطيرة إذا وقعت في الأيدي الخطأ.

يحث الخبراء جميع مستخدمي Triofox على التحديث الفوري إلى الإصدار 16.10.10408.56683، ومراجعة حسابات المديرين، وفحص إعدادات مكافحة الفيروسات للتأكد من عدم وجود سكريبتات خبيثة مخفية. الدرس واضح: في الأمن السيبراني، الثقة هشة، وحتى المدافعين قد يتحولون إلى خصوم بين ليلة وضحاها.

ويكي كروك

• تنفيذ التعليمات البرمجية عن بُعد (RCE): تنفيذ التعليمات البرمجية عن بُعد هو عندما يقوم المهاجم بتشغيل شيفرته الخاصة على نظام الضحية، مما يؤدي غالباً إلى السيطرة الكاملة أو اختراق النظام.
• تصعيد الامتيازات: يحدث تصعيد الامتيازات عندما يحصل المهاجم على صلاحيات أعلى، وينتقل من حساب مستخدم عادي إلى صلاحيات المدير على النظام أو الشبكة.
• PowerShell: PowerShell هي أداة برمجة نصية في ويندوز تُستخدم للأتمتة، لكن غالباً ما يستغلها المهاجمون لتنفيذ أعمال خبيثة بشكل خفي.
• أدوات الوصول عن بُعد (RATs): أدوات الوصول عن بُعد هي برامج تتيح لشخص ما التحكم في جهاز كمبيوتر عن بُعد، وهي مفيدة للدعم الفني لكنها خطيرة إذا استُخدمت للتجسس أو السرقة.
• نفق SSH: نفق SSH هو قناة مشفرة تنقل البيانات بأمان بين أجهزة الكمبيوتر، وغالباً ما يُستخدم لحماية المعلومات الحساسة أو تجاوز القيود.