🗓 الجمعة - 30 يناير 2026، 06:30 مساءً |
⏱ 3 دقيقة |
👁 5 مشاهدة
برمجية BadIIS تعود بحملة جديدة تستهدف خوادم IIS في آسيا مع تركيز على تايلاند وفيتنام، وفق متابعة تيكبامين. الهجمات تمتد من أواخر 2025 حتى مطلع 2026.ما الذي تكشفه حملة برمجية BadIIS على خوادم IIS؟رصد باحثون أمنيون حملة منسوبة لمجموعة UAT-8099 مرتبطة بالصين، نشطت بين أواخر 2025 وبداية 2026، واعتمدت على استغلال خوادم IIS غير المحصنة للوصول الأولي.الحملة ظهرت بعد توثيق سابق لنشاط المجموعة في 2025، حيث استُخدمت البرمجيات الخبيثة للتلاعب بنتائج البحث وتحويل الزيارات إلى صفحات مسيطر عليها.الحملة الحالية تستهدف أسواقًا آسيوية متعددة، مع تركيز لافت على تايلاند وفيتنام، بينما يبقى حجم الانتشار الدقيق غير معروف.الهندباكستانتايلاندفيتناماليابانوتشابهت مؤشرات الحملة مع موجة سابقة استهدفت أسواقًا متعددة، ما يشير إلى إعادة استخدام البنية التحتية وطرق التحكم عن بعد.لماذا تركز الهجمات على تايلاند وفيتنام؟يشير محللون إلى أن انتشار استضافات IIS الرخيصة وارتفاع حركة البحث المحلية يجعل هذه الأسواق هدفًا مثاليًا لعمليات احتيال SEO.الهدف التجاري واضح: تضخيم الزيارات لصفحات مزيفة أو إعادة توجيه المستخدمين لمواقع تحقق أرباحًا إعلانية سريعة، ما يفسر التركيز الإقليمي.كيف يتم التلاعب بنتائج البحث؟تعتمد المجموعة على حقن صفحات محسّنة للكلمات المفتاحية وربطها تلقائيًا بنتائج البحث، مع الحفاظ على واجهة الموقع الأصلية لتجنب الشك.إعادة توجيه روابط البحث إلى صفحات مزيفةحقن محتوى مخفي بكلمات مفتاحية محليةإنشاء خرائط مواقع زائفة لرفع الترتيبكيف يعمل UAT-8099 وما الأدوات المستخدمة؟تستخدم المجموعة قواقع ويب Web Shells وأوامر PowerShell لتشغيل سكربتات تلقائية وتنزيل أداة GotoHTTP التي تمنح تحكمًا عن بعد بالخادم.كما لوحظ اعتمادها على VPN من نوع SoftEther وأداة EasyTier، مع توظيف أدوات قانونية لتقليل احتمالات الكشف.اللافت أن المهاجمين يفضلون أدوات الفرق الحمراء للحفاظ على التخفي، ما يجعل رصدهم أصعب لدى أنظمة الحماية التقليدية.الأدوات التي رصدها الباحثونWeb Shells للوصول الأولي وإدارة الملفاتPowerShell لتنفيذ المهام وتنزيل الحمولةGotoHTTP كنفق تحكم عن بعدSoftEther VPN لإخفاء المصدرEasyTier لتجميع الخوادم المصابةسلسلة الهجوم خطوة بخطوةتبدأ العملية باستغلال ثغرة أو إعدادات رفع ملفات ضعيفة، ثم تُزرع الحمولة الخبيثة وتُنشأ قنوات وصول طويلة الأمد.لمواجهة حظر حساب admin$، أضافت المجموعة فحصًا جديدًا ثم تُنشئ حسابًا باسم mysql$، مع إنشاء حسابات مخفية إضافية لضمان الاستمرارية.استغلال ثغرات IIS أو نماذج رفع غير مؤمنةتنزيل سكربتات خبيثة وتفعيل الاتصال البعيدتهيئة حسابات بديلة للحفاظ على الوصولزرع ملفات لإعادة توجيه حركة البحثما الخطوات الدفاعية لحماية خوادم IIS؟يؤكد تيكبامين أن الإجراءات الوقائية البسيطة قادرة على تقليل المخاطر بشكل كبير، خصوصًا مع ارتفاع استهداف خوادم IIS في المنطقة.الأولوية يجب أن تكون لتحديث الأنظمة وتقييد رفع الملفات ومراقبة الحسابات غير المعتادة، إضافة إلى مراجعة سجلات PowerShell بانتظام.تطبيق التحديثات الأمنية فور صدورهاتعطيل أو تقييد ميزة رفع الملفات العامةمراجعة الحسابات الإدارية والبحث عن حسابات مخفيةمراقبة الاتصالات غير المعتادة نحو خوادم خارجيةعزل الخوادم المصابة وإعادة بناء الملفات المتأثرةفي النهاية، مراقبة مؤشرات الاختراق والاستجابة السريعة لأي نشاط مرتبط ببرمجية BadIIS تمنح فرق الأمن فرصة لاحتواء الضرر قبل اتساعه.