هجوم سيبراني صيني يستغل ثغرة Sitecore لضرب أمريكا

كشف تقرير أمني جديد عن نشاط مجموعة قراصنة مرتبطة بالصين تستهدف البنية التحتية الحيوية في أمريكا الشمالية، مستغلة ثغرة خطيرة من نوع Zero-day في أنظمة Sitecore. وبحسب متابعة فريق تيكبامين للأمن الرقمي، فإن هذا الهجوم يمثل تصعيداً خطيراً يهدف للوصول إلى بيانات حساسة في مؤسسات كبرى.

من هي مجموعة UAT-8837 وما أهدافها؟

رصدت شركة Cisco Talos نشاطاً مكثفاً لمجموعة أطلقت عليها اسم UAT-8837، والتي يُعتقد بوجود صلات قوية لها مع الصين. وتعمل هذه المجموعة كتهديد متقدم ومستمر (APT) يركز بشكل أساسي على اختراق المؤسسات عالية القيمة.

تعتمد المجموعة في استراتيجيتها على الحصول على موطئ قدم أولي داخل الشبكات المستهدفة، سواء عبر استغلال الخوادم الضعيفة أو استخدام بيانات اعتماد مسربة. وبمجرد الدخول، تبدأ المجموعة في نشر أدوات مفتوحة المصدر لجمع المعلومات الحساسة وتوسيع نطاق سيطرتها.

تفاصيل ثغرة Sitecore Zero-Day الخطيرة

أخطر ما في هذا الهجوم هو استغلال ثغرة حرجة في نظام إدارة المحتوى Sitecore، والتي تحمل الرمز (CVE-2025-53690) بتصنيف خطورة مرتفع جداً يصل إلى 9.0.

تسمح هذه الثغرة للمهاجمين بالحصول على وصول أولي للنظام دون الحاجة لبيانات دخول مسبقة. وقد لوحظ تشابه كبير في الأدوات والبنية التحتية المستخدمة مع حملات تجسس سابقة رصدتها شركة Mandiant التابعة لشركة جوجل.

كيف يتم تنفيذ الهجوم وسرقة البيانات؟

بمجرد نجاح الاختراق الأولي، يقوم المهاجمون بتنفيذ سلسلة من الخطوات التكتيكية لتثبيت وجودهم وسرقة البيانات، وتشمل هذه الخطوات:

• إجراء استطلاع أولي للشبكة وتحديد الأهداف القيمة.
• تعطيل خاصية RestrictedAdmin في بروتوكول سطح المكتب البعيد (RDP) لكشف بيانات الاعتماد.
• استخدام موجه الأوامر "cmd.exe" لتنفيذ أوامر يدوية مباشرة على الأجهزة المصابة.
• سرقة مكتبات برمجية مشتركة (DLL) خاصة بمنتجات الضحية، مما يثير مخاوف من هجمات سلاسل التوريد مستقبلاً.

مخاطر اختراق سلاسل التوريد

يشير خبراء الأمن إلى أن قيام المجموعات بسرقة مكتبات DLL قد يمهد الطريق لتلغيم هذه الملفات برمجياً في المستقبل. هذا التكتيك يفتح الباب أمام اختراق سلاسل التوريد والقيام بعمليات هندسة عكسية لاكتشاف ثغرات جديدة في منتجات الشركات المستهدفة.

يأتي هذا الكشف بعد أسبوع واحد فقط من رصد مجموعة أخرى مرتبطة بالصين (UAT-7290) تقوم بعمليات تجسس في جنوب آسيا، مما يؤكد تصاعد وتيرة الهجمات السيبرانية الموجهة، وهو ما يحذر منه تيكبامين باستمرار لضرورة تعزيز الإجراءات الأمنية وسد الثغرات فور اكتشافها.