داخل متاهة MetaRAT: كيف استخدم قراصنة صينيون ثغرات Ivanti لاختراق عمالقة الشحن اليابانيين

استغل برمجية MetaRAT المتقدمة ثغرات Ivanti Connect Secure في هجوم إلكتروني متطور استهدف قطاع النقل الياباني.

في صباح هادئ من أبريل 2025، بدأ القلب الرقمي لصناعة الشحن اليابانية يتعثر. دون سابق إنذار، تسلل المهاجمون - يعملون في الظل ويستخدمون برمجيات خبيثة متطورة - عبر الدفاعات، مستغلين ثغرات مهملة في أجهزة Ivanti Connect Secure. ما تلا ذلك كان مثالاً نموذجياً للتجسس الإلكتروني: دقة، وتخفي، وعرض مرعب لمدى تطور البرمجيات الخبيثة الحديثة.

حقائق سريعة

استغل المهاجمون ثغرات Ivanti Connect Secure (CVE-2024-21893, CVE-2024-21887) في أبريل 2025.
تم نشر متغيرات متقدمة من البرمجيات الخبيثة MetaRAT وTalisman PlugX ضد شركات الشحن والنقل اليابانية.
قام المتسللون بجمع بيانات اعتماد ذات امتيازات عالية والتحرك أفقياً داخل الشبكات، مع التركيز على البقاء بدلاً من سرقة البيانات الفورية.
تشير الأدلة إلى مجموعات مرتبطة بالدولة الصينية، بما في ذلك Space Pirates وCalypso، كمنفذين للهجوم.
توصي شركة LAC بسرعة تصحيح الثغرات ومراقبة مؤشرات وعلامات البرمجيات الخبيثة المحددة.

تشريح اختراق إلكتروني حديث

بدأ الاختراق بتكتيك مألوف لكنه قوي: استغلال ثغرات غير مصححة في أجهزة Ivanti Connect Secure (ICS) المنتشرة على نطاق واسع. تتبعت شركة الأمن السيبراني اليابانية LAC التسلل إلى ثغرتي CVE-2024-21893 وCVE-2024-21887، وهما ثغرتان فتحتا الأبواب أمام بعض أهم شبكات الشحن والنقل في اليابان.

لكن المهاجمين لم يكتفوا باختراق بسيط. مستفيدين من بيانات اعتماد ذات امتيازات عالية - بعضها جُمِع من Active Directory - تحركوا أفقياً، مستهدفين الخوادم الداخلية بنوع جديد من أحصنة طروادة للوصول عن بعد (RAT): MetaRAT، وهو سليل PlugX صُمم للتخفي والمرونة.

MetaRAT: تطور مفترس رقمي

MetaRAT، المكتوب بلغة C/C++، ليس حصان طروادة عادياً. نشط منذ عام 2022 على الأقل، ويستخدم تحميل DLL الجانبي وحمولات مشفرة ليحقن نفسه مباشرة في الذاكرة، متجاوزاً العديد من وسائل الدفاع التقليدية. يتم تفعيل محمله (mytilus3.dll) وحمولته المشفرة "materoll" عبر تقنية التحميل الانعكاسي، وهي طريقة تجعل اكتشافه أكثر صعوبة بشكل كبير.

تحت الغطاء، يستخدم MetaRAT تشفير AES-256، وتجزئة واجهات برمجة التطبيقات، وميزات مقاومة التصحيح التي تدمر المفاتيح التشفيرية ذاتياً إذا اقترب المحللون أكثر من اللازم. كما أن اتصالاته مراوغة للغاية: يقلد حركة مرور الويب البريئة (مثل ملفات JavaScript أو CSS)، مستخدماً معرفات فريدة مثل "Cookie-Yaga" للاندماج وتجنب الاكتشاف. وتتيح الإضافات المعيارية تسجيل ضغطات المفاتيح، وتنفيذ الأوامر، ونفق المنافذ السري.

كما نشر المهاجمون Talisman PlugX، وهو متغير آخر متطور من PlugX، يستخدم أساليب تخفي مشابهة ولكن بتواقيع مميزة - تغييرات طفيفة في رؤوس الملفات مصممة لخداع أدوات الأمن الحديثة.

من يقف وراء الستار؟

رغم أن تحديد المسؤولية دائماً أمر معقد، تشير تحليلات LAC إلى مجموعات مرتبطة بالدولة الصينية - Space Pirates وCalypso وربما RedFoxtrot. ويعزز التشابه في البنية التحتية وشيفرة البرمجيات الخبيثة مع عائلات مثل RainyDay وTurian هذا الاستنتاج. ومن اللافت أن المهاجمين بدوا أكثر اهتماماً بتمهيد الطريق - جمع بيانات الاعتماد وضمان البقاء - بدلاً من سرقة البيانات الفورية.

ما الذي سيحدث لاحقاً؟

بالنسبة للمدافعين، الرسالة واضحة: صححوا الآن، راقبوا بانتباه، وابحثوا عن آثار مريبة مثل الملف VniFile.hlp أو مفتاح السجل matesile. مع التطور السريع لـ MetaRAT وأمثاله، لا مجال للتهاون. الفصل التالي في سباق التسلح السيبراني هذا يُكتب بالفعل الآن.