83% من هجمات إيفانتي مصدرها عنوان IP واحد فقط

كشفت أحدث التقارير الأمنية عن حملة سيبرانية مكثفة تستهدف ثغرة حديثة في أنظمة إيفانتي (Ivanti EPMM)، حيث تبين أن الغالبية العظمى من محاولات الاستغلال تصدر من عنوان IP واحد ومحدد.

ما تفاصيل الهجوم على أنظمة إيفانتي؟

أوضحت شركة GreyNoise المتخصصة في استخبارات التهديدات أن 83% من محاولات اختراق أنظمة إدارة الأجهزة المحمولة للمؤسسات (EPMM) التابعة لشركة إيفانتي، تعود لمصدر واحد يستخدم بنية تحتية للاستضافة المحصنة (Bulletproof hosting).

وبحسب رصد فريق تيكبامين للبيانات، تم تسجيل 417 جلسة استغلال نشطة بين 1 و9 فبراير 2026، وجاءت الإحصائيات كالتالي:

• إجمالي عناوين IP المهاجمة: 8 عناوين فريدة فقط.
• العنوان الرئيسي: 193.24.123[.]42.
• نسبة الهجمات من هذا العنوان: 346 جلسة (83%).

ما هي خطورة ثغرة CVE-2026-1281؟

يتركز هذا النشاط الخبيث حول استغلال ثغرة أمنية حرجة تحمل الرمز CVE-2026-1281، والتي حصلت على تقييم خطورة مرتفع جداً (9.8 من 10). تسمح هذه الثغرة، إلى جانب ثغرة أخرى (CVE-2026-1340)، للمهاجمين بتنفيذ هجمات خطيرة:

• تنفيذ تعليمات برمجية عن بعد (RCE).
• عدم الحاجة للمصادقة أو تسجيل الدخول.
• السيطرة الكاملة على الأجهزة المصابة.

وقد اعترفت شركة إيفانتي بوجود استغلال لهذه الثغرات، مشيرة إلى تأثر عدد محدود من العملاء بما يعرف بهجمات "يوم الصفر" (Zero-day).

من هي الجهات المستهدفة بهذا الهجوم؟

لم يقتصر الهجوم على أهداف عشوائية، بل طال مؤسسات حكومية ودولية حساسة في أوروبا. وقد أفصحت عدة جهات عن تعرضها لمحاولات استهداف، ومن أبرزها:

• هيئة حماية البيانات الهولندية (AP).
• المفوضية الأوروبية.
• مجلس القضاء الهولندي.
• وكالة فالتوري الحكومية في فنلندا.

ويشير خبراء الأمن الرقمي إلى أن المهاجم يستخدم تقنيات تمويه متقدمة لتجنب الكشف، حيث يقوم العنوان المهاجم بتغيير "وكيل المستخدم" (User Agent) بشكل مستمر، محاكياً أكثر من 300 متصفح ونظام تشغيل مختلف مثل كروم وفايرفوكس وسفاري.

ما علاقة الهجوم ببرمجيات خبيثة أخرى؟

أظهرت التحقيقات وجود صلة بين البنية التحتية المستخدمة في الهجوم (PROSPERO) ونظام آخر يدعى Proton66، والمعروف تاريخياً بتوزيع برمجيات خبيثة خطيرة على أنظمة سطح المكتب وأندرويد.

وتشمل قائمة البرمجيات الخبيثة المرتبطة بهذه الشبكة:

• برمجية GootLoader.
• برمجية SpyNote للتجسس.
• برمجية Coper (المعروفة باسم Octo).
• برمجية Matanbuchus.

كيف يتم التمهيد للاختراق المستقبلي؟

في تطور مقلق، كشفت شركة Defused Cyber عن تكتيك جديد يتمثل في زرع "قذائف نائمة" (Sleeper shells) داخل ذاكرة الأنظمة المصابة. تعتمد هذه التقنية على:

• نشر محمل فئة Java خامل في الذاكرة.
• استخدام مسار "/mifs/403.jsp" للتخفي.
• عدم نشر حمولة ضارة فوراً، بل الاكتفاء بتأكيد قابلية الهدف للاختراق.

ويختتم تقرير تيكبامين بالتأكيد على أن هذا النمط يشير إلى نشاط "وسطاء الوصول الأولي"، الذين يهدفون لفحص الأنظمة وتحديد الضعيفة منها، تمهيداً لبيع صلاحيات الدخول لمجموعات قرصنة أخرى لاحقاً.