حقائق سريعة

• يستغل القراصنة أداة Velociraptor، وهي أداة أمنية شرعية، لتنفيذ هجمات التحكم والسيطرة وهجمات الفدية.
• استغلت حوادث حديثة ثغرات لم يتم ترقيعها في SharePoint وWSUS للوصول وتثبيت Velociraptor.
• استخدم المهاجمون برامج موثوقة مثل Visual Studio Code لإخفاء تحركاتهم وتجنب الاكتشاف.
• تشير التكتيكات المتشابهة والبنية التحتية المتداخلة إلى تنسيق بين مجموعات التهديد أو مشاركة أدوات موحدة.
• تشير أخطاء تشغيلية ارتكبها المهاجمون إلى استعجال أو قلة خبرة، لكن التهديد لا يزال خطيراً.

تحول أدوات الأمن إلى أحصنة طروادة

تخيل لصاً يستخدم المفتاح الرئيسي الخاص بحارس أمنك ليتسلل عبر دفاعاتك. هذه هي الحقيقة المقلقة التي تواجهها المؤسسات اليوم، حيث يعيد القراصنة توظيف Velociraptor - وهي أداة مفتوحة المصدر للتحليل الجنائي الرقمي والاستجابة للحوادث - ويحولونها من محقق رقمي إلى شريك صامت في هجمات الفدية والتحكم عن بعد.

Velociraptor، التي تحظى بثقة واسعة بين محترفي الأمن السيبراني، صُممت لأغراض نبيلة: تتبع المهاجمين، جمع الأدلة الجنائية، ومساعدة المؤسسات على التعافي من الاختراقات. لكن وفقاً لتقارير محللي Huntress، بدأ مجرمو الإنترنت مؤخراً في تسليح Velociraptor نفسها، مستغلين شرعيتها للحفاظ على الوصول بهدوء، والتنقل أفقياً عبر الشبكات، وإطلاق حملات الفدية.

تشريح عملية الاختطاف: من الاستغلال إلى الابتزاز

في ثلاث هجمات موثقة بين سبتمبر ونوفمبر 2025، تمكن القراصنة من الدخول عبر استغلال ثغرات حرجة في برامج مؤسسية شائعة. استهدفت حادثتان خوادم SharePoint باستخدام سلسلة ثغرات أطلق عليها اسم "ToolShell" - تجمع بين CVE-2025-49706 وCVE-2025-49704 - لتجاوز المصادقة وتنفيذ الأوامر كما لو كانوا مسؤولين موثوقين. أما الهجوم الثالث فاستغل ثغرة في Windows Server Update Services (WSUS)، مستفيداً من عنصر مهمَل في البنية التحتية لتكنولوجيا المعلومات لدفع برامج خبيثة عبر شبكة الشركة.

بعد الدخول، قام المهاجمون بتثبيت Velociraptor كخدمة ويندوز بصلاحيات النظام الكاملة، مما منحهم وصولاً دائماً وشبه غير مرئي. وبدلاً من استخدام برامج خبيثة واضحة، اندمجوا مع العمليات اليومية لتكنولوجيا المعلومات، معتمدين على التواقيع الرقمية والسلوك المألوف لـ Velociraptor لتجاوز برامج مكافحة الفيروسات وأدوات مراقبة الشبكة.

ولإخفاء آثارهم أكثر، استخدموا Visual Studio Code - وهي أداة تطوير شهيرة وموثقة رقمياً - لإنشاء أنفاق مشفرة للتحكم عن بعد. هذا التمويه الذكي جعل اتصالاتهم الخبيثة شبه غير قابلة للتمييز عن حركة المرور الشرعية لتكنولوجيا المعلومات، مما صعّب عملية الاكتشاف حتى على فرق الأمن اليقظة.

أنماط، عثرات، والصورة الأكبر

كشفت الحوادث ليس فقط عن تطور تقني، بل أيضاً عن لمحات من الخطأ البشري: ارتكب المهاجمون أخطاء في تنفيذ أوامر أساسية، ونسوا علامات حرجة، وكشفوا عن هفوات تشغيلية تشير إلى قلة خبرة أو ضغط شديد. ومع ذلك، أظهر تحليل البصمات الرقمية - النطاقات، رموز الأنفاق، وأسماء الأجهزة - تداخلات بين الهجمات، مما يشير إلى تنسيق بين مجموعات تهديد أو مشاركة أدوات موحدة في عالم الجريمة الإلكترونية.

شهد مراقبو القطاع هذا السيناريو من قبل. استغلال أدوات تكنولوجيا المعلومات الشرعية لأغراض خبيثة - المعروف باسم "العيش من موارد النظام" - آخذ في الازدياد، حيث يستغل المهاجمون كل شيء من PowerShell إلى برامج الإدارة عن بعد. الجديد هو تصاعد اتجاه اختطاف برامج الأمن نفسها، وتحويل الأدوات المصممة لملاحقة المجرمين إلى وسائل للهجوم.

على الصعيد الجيوسياسي، المخاطر مرتفعة: مجموعات تهديد مثل Storm-2603، التي تعود إلى جهات ذات دوافع مالية، تستغل هذه التكتيكات ضد قطاعات تتراوح من الزراعة إلى خدمات تكنولوجيا المعلومات المدارة، مع تأثيرات متسلسلة على سلاسل التوريد والبنية التحتية الوطنية.

ويكي كروك

• Velociraptor: Velociraptor هي أداة مفتوحة المصدر للتحليل الجنائي الرقمي والاستجابة للحوادث، تتيح لفرق الأمن التحقيق ومراقبة الحواسيب عبر الشبكة.
• أمر (Command): الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالباً من خادم تحكم وسيطرة (C2)، لتوجيهه بتنفيذ إجراءات محددة، أحياناً لأغراض خبيثة.
• برمجيات الفدية (Ransomware): برمجيات الفدية هي برامج خبيثة تقوم بتشفير أو قفل البيانات، وتطالب الضحايا بدفع فدية لاستعادة الوصول إلى ملفاتهم أو أنظمتهم.
• العيش من موارد النظام (Living off the Land): العيش من موارد النظام يعني أن المهاجمين يستخدمون أدوات النظام الموثوقة والمضمنة لأغراض خبيثة، مما يصعب اكتشاف أنشطتهم.
• ثغرة اليوم صفر (Zero-day): ثغرة اليوم صفر هي خلل أمني مخفي غير معروف لمطور البرنامج، ولا يوجد له إصلاح متاح، مما يجعله ذا قيمة وخطورة عالية للمهاجمين.