مايكروسوفت تكشف حملة Storm-2561 بتسميم SEO

حذرت مايكروسوفت من حملة Storm-2561 التي تعتمد على تسميم SEO لنشر عملاء VPN مزيفين وسرقة بيانات الدخول، ما يرفع المخاطر على الشركات في 2026.

كيف استغلت حملة Storm-2561 تسميم SEO؟

قالت مايكروسوفت إنها رصدت النشاط في منتصف يناير 2026، وربطته بـStorm-2561 التي تنشط منذ مايو 2025. تعتمد الحملة على نتائج البحث المسمومة لإعادة توجيه الباحثين عن برامج VPN مؤسسية إلى ملفات ZIP ضارة.

الملفات تحمل برامج موقعة رقمياً تظهر كأنها عملاء موثوقون، لكنها تزرع حمولة خبيثة بمجرد التثبيت. هذا الأسلوب يسمح للمهاجمين بتجاوز الشكوك الأولية واستغلال ثقة المستخدم في نتائج البحث.

تسلسل الهجوم خطوة بخطوة

• يبحث المستخدم عن عميل VPN لشركات مثل سونيك وول أو هانوا فيجن أو Pulse Secure (إيفانتي سيكيور أكسيس).
• ينقر على نتيجة تبدو رسمية في بينغ تقوده إلى موقع مزيف.
• يقوم بتنزيل ملف ZIP يحتوي على مثبت MSI ملغم.
• ينفذ التثبيت تحميل DLL جانبي وتشغيل أداة Hyrax لسرقة البيانات.

في بعض النسخ، تُستضاف الحزم على غيت هاب لإضفاء مصداقية إضافية، بينما يقوم المثبت بعملية sideloading لملفات DLL خبيثة. الهدف النهائي هو جمع بيانات اعتماد VPN وإرسالها إلى خوادم المهاجمين باستخدام نسخة من سارق المعلومات Hyrax.

ما الذي يميز عملاء VPN المزيفين؟

تظهر للمستخدم نافذة تسجيل دخول مقنعة تطابق واجهة البرامج الرسمية، ما يدفعه لإدخال البيانات دون تردد. بعد الإدخال تظهر رسالة خطأ تطلب تنزيل العميل الشرعي، وأحياناً يتم تحويله للموقع الحقيقي.

ماذا يحدث بعد إدخال البيانات؟

• تُحفظ البيانات محلياً لفترة قصيرة قبل إرسالها عبر اتصال مشفر.
• يُستخدم مفتاح RunOnce في سجل ويندوز لتشغيل البرمجية عند إعادة التشغيل.
• يمكن استغلال الحسابات للوصول إلى الشبكات الداخلية أو بيعها في الأسواق السوداء.

تعتمد الحملة على التوقيعات الرقمية والشعارات المقلدة لإخفاء الشبهات، ما يزيد فعالية الهندسة الاجتماعية لدى الموظفين عن بُعد.

لماذا تستهدف الحملة شركات وإدارات الشبكات؟

تزايد الاعتماد على الوصول عن بُعد يجعل حسابات VPN هدفاً ثميناً، خصوصاً في القطاعات المالية والصناعية. وفقاً لتقرير تيكبامين، فإن المهاجمين يراهنون على ثقة الموظف في ترتيب النتائج والشعار الرسمي.

الحملة ليست جديدة كلياً؛ فقد ظهرت موجات خلال 2025 اعتمدت مواقع وهمية لتقليد عملاء إيفانتي وPulse Secure، مستغلة البحث في بينغ عن برامج الشركات. هذا يوضح كيف يمكن لتسميم النتائج أن يضاعف عدد الضحايا سريعاً.

كيف تحمي المؤسسات بيانات VPN من السرقة؟

الحماية تبدأ من التحقق الدقيق من الروابط والتنزيل من القنوات الرسمية فقط، مع تطبيق سياسات صارمة للأجهزة. كما أن مراقبة سلوك التنزيلات يعزز اكتشاف الحملات المبكرة.

• فرض المصادقة متعددة العوامل على كل حسابات VPN.
• مراجعة نطاقات التحميل في بوابات الدعم وتحديثها دورياً.
• تفعيل حلول EDR لرصد تحميل DLL الجانبي والتنزيلات الموقعة المشبوهة.
• تدريب الموظفين على تمييز نتائج البحث المضللة والإبلاغ السريع.

وتؤكد تيكبامين أن الجمع بين التوعية والمراقبة المستمرة يقلل تأثير تسميم SEO ويحمي بيانات الشركات من الاستغلال طويل الأمد.