كشف تقرير جديد عن اختراق مجموعة PCPJack لأكثر من 230 خادماً سحابياً في جوجل وأمازون وأزور، بهدف إنشاء شبكة بريد عشوائي معقدة ومخفية تماماً.
كيف تم اختراق 230 خادماً سحابياً من قبل مجموعة PCPJack؟
تم رصد نشاط مريب لمجموعة تسلل إلكتروني تُعرف باسم PCPJack، حيث تمكنت من الاستيلاء على بنية تحتية ضخمة موزعة بين كبرى منصات الحوسبة السحابية العالمية مثل جوجل كلاود (Google Cloud) وإيه دبليو إس (AWS) ومايكروسوفت أزور (Azure). وحسب تيكبامين، فقد تم تحويل هذه الخوادم المخترقة بصمت إلى وكلاء بريد إلكتروني (SMTP proxies) بهدف إرسال حملات بريد عشوائي ضخمة.
انتشرت الخوادم المتضررة في مناطق جغرافية واسعة تشمل الولايات المتحدة وأوروبا وآسيا، حيث كانت تعمل بكفاءة عالية وتقوم بمزامنة البيانات مع خوادم التحكم كل خمس دقائق، مما يجعلها شبكة بريد "شبحية" يصعب تعقبها من قبل أنظمة الحماية التقليدية للمؤسسات.
الأدوات والبرمجيات المستخدمة في الهجوم
أظهرت التحليلات التقنية أن المهاجمين ارتكبوا خطأً بترك أدلة مفتوحة على خوادم التحكم الخاصة بهم، مما كشف عن مجموعة من الأدوات المتطورة التي تضمنت:
- Sliver C2: إطار عمل متقدم لإدارة الهجمات والتحكم في الأجهزة المخترقة عن بُعد.
- Chisel: أداة لإنشاء أنفاق مشفرة ووكلاء (Proxies) متوافقة مع مختلف معماريات أنظمة لينكس.
- ماسحات الإنترنت: أدوات متخصصة للبحث عن ثغرات جديدة في الخوادم السحابية العامة.
- ملفات تنفيذية مخفية: برمجيات تبدأ بـ "." وتستقر في مسارات مؤقتة مخفية لضمان البقاء داخل النظام.
كيف تعمل شبكة البريد الوهمية التابعة للمهاجمين؟
تعتمد العملية على آلية ذكية لتخصيص المنافذ (Ports)، حيث يتم تعيين منفذ SOCKS5 فريد لكل جهاز مخترق بناءً على معرف خاص يتم تشفيره بخوارزمية MD5. هذا الأسلوب يضمن أن الجهاز المخترق يرتبط دائماً بنفس المنفذ عبر جلسات العمل المختلفة، مما يلغي الحاجة إلى سجل مركزي قد يكتشفه خبراء الأمن.
كما تضمنت البرمجيات ما يسمى بـ "بوابة الجودة" (Quality Gate) التي تقوم بفحص قدرة الخادم على الوصول إلى خدمات بريد جوجل (Gmail) عبر المنفذ 587. وفي حال فشل الخادم في هذا الاختبار، يتم تجاوزه فوراً، حيث تركز العملية حصراً على الخوادم التي تمتلك قدرة فعلية على تمرير البريد الإلكتروني، كما ذكر تيكبامين في تحليله للواقعة.
العلاقة بين PCPJack والمنافسة في عالم الأمن الرقمي
تم اكتشاف PCPJack لأول مرة في أبريل 2026، حيث تبين أنها متخصصة في سرقة بيانات الاعتماد من الخدمات السحابية. والمثير للاهتمام هو سعي المجموعة لإزالة أي آثار لبرمجيات مجموعة منافسة تُدعى TeamPCP، والتي اشتهرت بهجمات سلاسل التوريد. هذا يعكس وجود صراع نفوذ بين المجموعات الإجرامية للسيطرة على موارد الحوسبة السحابية الثمينة واستغلالها في عملياتهم المشبوهة.
توصيات لتعزيز الأمن الرقمي للمؤسسات
يعد هذا الاختراق تذكيراً قوياً بأهمية مراقبة حركة المرور الخارجة من الخوادم، خاصة بروتوكولات البريد الإلكتروني. يجب على مديري الأنظمة تطبيق سياسات صارمة لمنع البرمجيات غير المصرح بها من العمل في المسارات المؤقتة، وتفعيل المصادقة المتعددة لجميع حسابات الإدارة لضمان الأمن الرقمي الشامل وحماية البيانات الحساسة من المتسللين.
