أمن سيبراني: مؤشرات جديدة لهجمات RCE وRAT

أمن سيبراني في الواجهة هذا الأسبوع مع مؤشرات صغيرة لكنها حاسمة تكشف عن طرق تسلل أكثر خفاء. وتوضح كيف تتوسع الهجمات لاحقا رغم هدوء نقطة الدخول.

ما أبرز إشارات أمن سيبراني التي ظهرت هذا الأسبوع؟

تشير تقارير الرصد إلى أن الهجمات باتت تبدأ من أماكن عادية مثل بيئات التطوير والأدوات البعيدة والوصول السحابي. ويرى فريق تيكبامين أن هذه الإشارات الصغيرة ترسم خريطة تحولات أوسع في طرق الدخول.

نقاط الدخول الأقل وضوحا

• سير عمل المطورين وبيئات GitHub Codespaces
• أدوات الإدارة البعيدة والدعم الفني
• رموز الوصول السحابي وواجهات API
• مسارات الهوية مثل OAuth وSSO
• سلوكيات المستخدم الروتينية مثل فتح المرفقات

كما يبرز اتجاه واضح نحو تحويل الهجمات إلى خدمات عبر بنية مشتركة وعمليات قابلة للتكرار. هذا يفسر سرعة إعادة الاستخدام والتوسع لاحقا.

• بنية تحتية مشتركة بين مجموعات متعددة
• قوالب تنفيذ ثابتة وتوثيق داخلي
• تأجير وصول أولي مقابل عمولة
• شبكات تابعة بأسلوب الشركاء

النتيجة أن الاختراق قد يبدأ دون ضجيج، لكنه يتحول لاحقا إلى تأثير واسع عبر نشر أدوات جديدة أو بيع الوصول لمهاجمين آخرين. هذا يعقّد مهمة الاستجابة لأن آثار الهجوم تظهر متأخرة.

كيف استهدفت مجموعة APT36 الشركات الناشئة؟

المجموعة المحسوبة على باكستان وسعت نطاقها لتطال منظومة الشركات الناشئة في الهند، مستغلة طعما مرتبطا بريادة الأعمال. الهدف زرع Crimson RAT لتمكين المراقبة وسرقة البيانات واستطلاع الأنظمة.

سلسلة الإصابة خطوة بخطوة

• رسالة تصيد تحمل ملف ISO
• عند فتحه يظهر اختصار LNK خبيث
• مجلد يضم مستندا تمويهيا
• سكربت باتش يضمن الاستمرارية
• حمولة نهائية متنكرة باسم Excel

ورغم التوسع، يبدو أن التركيز ما زال قريبا من أهداف حكومية ودفاعية عبر استهداف أشخاص لهم صلة بالجهات الحساسة.

ماذا تكشف بنية ShadowSyndicate عن اقتصاد الجريمة؟

تحليل البنية التحتية ربط علامات SSH إضافية بعشرات الخوادم لدى مشغل واحد، وتستخدمها مجموعات متعددة لعمليات مختلفة مثل Cl0p وBlackCat وRyuk وBlack Basta. هذا يبرز دور ShadowSyndicate كوسيط يوفر موارد قابلة للتدوير.

أدوات مشتركة وبنية قابلة للتدوير

• Cobalt Strike
• Metasploit
• Havoc
• Mythic
• Sliver
• AsyncRAT
• MeshAgent
• Brute Ratel

وتتكرر أنماط إعادة استخدام الخوادم وتدوير مفاتيح SSH، بما يجعل انتقال البنية يبدو كما لو كان انتقالا شرعيا بين مستخدمين. هذه المرونة تساعد المهاجمين على البقاء نشطين حتى بعد تعطيل جزء من البنية.

ما الذي تعنيه اتجاهات RCE وAsyncRAT وBYOVD للمؤسسات؟

في جانب آخر، ظهرت مؤشرات على استغلال ثغرات RCE في بيئات المطورين مثل GitHub Codespaces، مع نشاط مستمر لقنوات C2 الخاصة بـ AsyncRAT. كما زادت تقارير إساءة استخدام BYOVD لتعطيل أدوات الحماية، إلى جانب محاولات تسلل عبر خدمات سحابية مدعومة بالذكاء الاصطناعي.

إجراءات عملية للحد من المخاطر

• تقييد صلاحيات المشاريع داخل بيئات التطوير
• مراجعة سياسات IAM والرموز المؤقتة
• فحص ملفات ISO وLNK في البريد
• تدوير مفاتيح SSH مع مراقبة السجلات
• عزل أدوات الإدارة البعيدة عن الشبكات الحساسة
• مراقبة الاتصالات الخارجة لسيرفرات C2

الخلاصة أن موجة التغيرات الحالية في أمن سيبراني تتطلب رصدا مبكرا وتنسيقا بين فرق التطوير والعمليات. وكما تشير تيكبامين، فإن الاستثمار في الرؤية والحوكمة اليوم يمنع تكلفة أكبر لاحقا.