Netcrook Logo
👤 LOGICFALCON
🗓️ 08 Jan 2026  

داخل سرقة المُشرف الفائق: كيف دبّر القراصنة اختراقًا استمر عامًا لمنصّة VMware ESXi

مجموعة أدوات سرّية تُدعى MAESTRO أتاحت لمجرمي الإنترنت الاستيلاء بهدوء على خوادم افتراضية حول العالم، كاشفةً هشاشة الجانب الخفي لافتراضية المؤسسات.

بدأ الأمر بهمسة - تسلّل عادي عبر VPN شركة، بالكاد يُرى على رادار فرق تقنية المعلومات المنشغلة. لكن خلف الكواليس كانت تتكشف حملة هجومية مُحكمة الهندسة. وباستخدام مجموعة أدوات أفلتت من الرصد لأكثر من عام، انزلق القراصنة متجاوزين الحراس الرقميين واستولوا على مُشرفات VMware ESXi، المحركات غير المرئية التي تُشغّل جزءًا كبيرًا من بنية السحابة ومراكز البيانات في العالم. سلاحهم؟ حزمة استغلال لثغرات يوم الصفر أُطلق عليها “MAESTRO” - بالدقة والفتك اللذين يوحي بهما اسمها.

تشريح هجوم غير مرئي

فكّ باحثو أمن Huntress خيوط الحملة بعد اختراق في ديسمبر 2025، بدأ باستغلال جهات التهديد لشبكة SonicWall VPN مخترقة. وبحوزتهم بيانات اعتماد Domain Admin مسروقة، تحركوا جانبيًا عبر الشبكة، ورسموا خريطة غزوهم بشكل منهجي باستخدام أدوات استطلاع شائعة مثل Advanced Port Scanner وShareFinder.

الخطوة التالية للمهاجمين: نشر MAESTRO. ربطت هذه المجموعة ثلاث ثغرات حرجة (CVE-2025-22226 و-22224 و-22225) لتنفيذ “هروب من الآلة الافتراضية” - أي الخروج من بيئة الـ VM الضيفة والاستيلاء على نظام ESXi المضيف. وتراوحت الثغرات بين تسريبات الذاكرة ورفع الامتيازات على مستوى النواة، مانحةً المهاجمين القدرة على إعادة كتابة قواعد العالم الافتراضي.

بعد الدخول إلى المُشرف الفائق، عطّلت MAESTRO برامج تشغيل VMware الأساسية وحمّلت برنامج تشغيل نواة خبيثًا (“MyDriver.sys”) باستخدام أداة Kernel Driver Utility (KDU)، متجاوزةً فحوصات أمان Windows. ومع اختراق النظام، أطلق المهاجمون VSOCKpuppet، وهو باب خلفي خفي استغل قناة اتصال VSOCK الخاصة بـ VMware نفسها - ما جعل النشاط الخبيث غير مرئي لأساليب مراقبة الشبكات التقليدية.

كشفت التحليلات الجنائية عن أصول مجموعة الأدوات: مسارات التصحيح وقطع التطوير قادت إلى بيئات باللغة الصينية المبسطة، مع شيفرة يعود تاريخها إلى أوائل 2024 - قبل وقت طويل من اعتراف VMware علنًا بالعيوب. ومع دعمها لـ 155 إصدارًا من ESXi، دلّ اتساع MAESTRO على عملية متطورة وممولة جيدًا.

التداعيات: الثقة الهشة في الافتراضية

حطّم هذا الهجوم وهم العزل الذي تعد به الافتراضية. فبواسطة MAESTRO، استطاع المجرمون القفز من الضيف إلى المضيف، وربما الوصول إلى أحمال عمل حساسة عبر مراكز بيانات كاملة. كما أن خفاء الحملة - تعطيل الاتصالات الصادرة مع تمكين الحركة الجانبية - اشترى للقراصنة وقتًا للعمل دون اكتشاف. وبالنسبة للمؤسسات التي تشغّل إصدارات ESXi القديمة، فالتهديد وجودي: لن تأتي ترقيعات، ومجموعة الأدوات ما تزال طليقة.

الرسالة واضحة: لم يعد أمن الافتراضية ترفًا مؤجلًا. حدّث ESXi على وجه السرعة، وراقب نشاط VSOCK الشاذ، ودقّق في كل نشاط VPN وبرامج تشغيل النواة. بالنسبة للبنية الرقمية للعالم، الساعة تدق.

WIKICROOK

  • Zero: ثغرة يوم الصفر هي عيب أمني خفي غير معروف لصانع البرمجيات، ولا يتوفر له إصلاح، ما يجعلها عالية القيمة وشديدة الخطورة بالنسبة للمهاجمين.
  • Hypervisor: المُشرف الفائق هو برنامج يتيح لخادم واحد تشغيل عدة آلات افتراضية معزولة، تعمل كل منها كحاسوب مستقل.
  • VM Escape: هروب الـ VM هو هجوم سيبراني يكسر فيه المهاجم عزل الآلة الافتراضية للوصول إلى النظام المضيف الأساسي أو التحكم به.
  • Kernel Driver: برنامج تشغيل النواة هو برنامج أساسي يتيح التفاعل المباشر بين نظام التشغيل والعتاد، ويدير وظائف رئيسية على مستوى منخفض.
  • Lateral Movement: الحركة الجانبية هي عندما ينتقل المهاجمون، بعد اختراق شبكة، بشكل أفقي للوصول إلى مزيد من الأنظمة أو البيانات الحساسة، موسّعين سيطرتهم ونطاقهم.
Hypervisor Heist MAESTRO toolkit VMware ESXi
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news