اكتشف خبراء الأمن الرقمي مجموعة تهديد جديدة تدعى OP-512 تستهدف خوادم مايكروسوفت IIS لنشر برمجيات خبيثة متطورة تهدف إلى التجسس الإلكتروني وسرقة البيانات.
كشفت تقارير حديثة في مجال الأمن الرقمي عن ظهور نشاط تخريبي جديد يحمل اسم OP-512، حيث يركز هذا التهديد على اختراق خوادم مايكروسوفت لخدمات معلومات الإنترنت (IIS) بهدف زرع إطار عمل مخصص من "أصداف الويب" (Web Shells). وحسب متابعة تيكبامين، فإن المحللين يرجحون بثقة متوسطة إلى عالية أن هذه الأنشطة مرتبطة بمجموعات تجسس صينية تهدف إلى جمع معلومات استخباراتية حساسة.
ما هي مجموعة OP-512 وكيف تخترق خوادم مايكروسوفت؟
تعتبر مجموعة OP-512 من أحدث المجموعات التي ركزت نشاطها على استغلال الثغرات في خوادم مايكروسوفت IIS. ويعتمد المهاجمون في هذه الحملة على استراتيجية دقيقة لاستهداف قطاعات جغرافية محددة تتماشى مع أولويات الاستخبارات الصينية، مما يجعلها تهديداً خطيراً للمؤسسات الحكومية والدفاعية.
أهم ميزات إطار العمل الخبيث المستخدم:
- يتكون من ثلاثة أنواع من أصداف الويب (Web Shells) التي تمنح وصولاً كاملاً عن بُعد.
- يستخدم تقنيات متطورة لتجاوز أنظمة الكشف القائمة على التوقيعات الرقمية.
- يعتمد على تشفير قوي لتقييد الوصول إلى الخادم المخترق ومنع المحللين من تتبع النشاط.
- يتضمن نظام إدارة مركزي يسمح للمهاجمين بالتحكم في عدد كبير من الخوادم المصابة في وقت واحد.
تقنيات متطورة للتخفي وتجاوز أنظمة الأمن الرقمي
ما يميز هجمات OP-512 هو استخدامها لتقنية تعرف باسم "Timestomping" أو التلاعب بالأختام الزمنية. تهدف هذه التقنية إلى تغيير تاريخ إنشاء وتعديل الملفات الخبيثة لتبدو وكأنها ملفات قديمة وموثوقة موجودة على النظام منذ فترة طويلة، مما يصعب مأمورية فرق التحقيق الجنائي الرقمي.
وتتم هذه العملية من خلال الخطوات التالية:
- مسح شامل لجميع الملفات والمجلدات الفرعية المحيطة بموقع البرمجية الخبيثة.
- حساب متوسط زمن آخر تعديل للملفات الأصلية في النظام.
- تعديل بيانات البرمجية الخبيثة لتطابق هذا المتوسط، مما يجعلها تبدو جزءاً طبيعياً من الخادم.
لماذا تستهدف المجموعات التخريبية خوادم IIS بشكل متزايد؟
وفقاً لما ذكره تيكبامين، فإن مجموعة OP-512 هي الرابعة من نوعها التي تستهدف خوادم مايكروسوفت IIS خلال العام الماضي فقط، بعد مجموعات بارزة مثل DragonRank و GhostRedirector. ويرجع هذا الاهتمام المتزايد لكون هذه الخوادم تشكل حلقة وصل أساسية في البنية التحتية للمؤسسات الكبرى.
مجموعات أخرى استهدفت خوادم مايكروسوفت مؤخراً:
- مجموعة CL-STA-0048: التي تتشابه تكتيكاتها بشكل كبير مع OP-512.
- برمجية BadIIS: التي تشاركها مجموعات ناطقة بالصينية لإصابة الخوادم.
- حملة SHADOW-EARTH-053: التي استهدفت قطاعات الدفاع في جنوب وشرق آسيا.
كيف تحمي مؤسستك من هجمات التجسس الإلكتروني؟
يتطلب التصدي لهذه التهديدات نهجاً شاملاً في الأمن الرقمي، يبدأ من التحديث الدوري لثغرات خوادم مايكروسوفت وصولاً إلى مراقبة أي سلوك غير معتاد في الملفات الحساسة. إن تعقيد أدوات OP-512 يشير إلى تطور مستمر في قدرات المهاجمين، مما يفرض على الشركات تبني حلول أمنية تعتمد على الذكاء الاصطناعي وتحليل السلوك بدلاً من الاعتماد الكلي على التوقيعات التقليدية.
