ترك طاقم مكافحة الجرائم الإلكترونية أحد خوادمه مفتوحة على مصراعيها على الإنترنت لمدة ثلاثة أسابيع، وكشف عن الأعمال الداخلية للعملية: أدوات القرصنة، وسجلات الأنشطة، وقوائم الأهداف التي تسمي أكثر من 1.4 مليون موقع ويب.

تم اختراق عدد أقل بكثير، لكن الملفات المكشوفة أظهرت للباحثين كيفية تنفيذ عملية اختراق جماعية للمواقع من الداخل.

العملية، التي يتم تتبعها الآن باسم الفسفور الأبيض-SHELLSTORM، هو ما تسميه SOCRadar وساطة الوصول إلى webshell: طاقم يقتحم المواقع على نطاق واسع، ويزرع بابًا خلفيًا مخفيًا (“webshell”) في كل منها، وحزمًا يمكنها الوصول لإعادة بيعها.

ضرب أقوى نشاط مواقع WordPress التي تعمل بمكونات إضافية قديمة. إذا كنت تستخدم WordPress أو Joomla، فإن العيبين الأكثر أهمية كانا في البرنامج الإضافي للتخزين المؤقت Breeze ومحرر Joomla’s JCE؛ انتقل إلى القائمة المرجعية أدناه إذا كنت أنت.

خادم منسي

قام فريقان بالحفر في نفس المجلد المكشوف. رصده فريق استخبارات التهديدات التابع لـ SOCRadar في 11 يونيو 2026، على خادم مستأجر في الولايات المتحدة على الرقم 137.175.93.[.]126 بدون كلمة مرور على الإطلاق. كان بداخله ما يقرب من 800 ميجابايت عبر 434 ملفًا: أغطية الويب، ونصوص الاستغلال، ونتائج المسح، وسجل الأوامر المكتوبة بواسطة المشغل، وإعدادات الأوامر والتحكم.

قام Ctrl-Alt-Intel بتحليل نفس الدليل أيضًا، بعد العثور عليه على منصة الدليل المفتوح الخاصة بـ Hunt.io، وتم نشره في 22 يونيو، قبل أسابيع من كتابة SOCRadar الخاصة في 9 يوليو. كان التعرض لزلة أساسية: بدأ المشغل خادم ويب Python بسيطًا لنقل الملفات وتركه قيد التشغيل لمدة 22 يومًا.

اكتشف الطاقم أخطاء معروفة علنًا في المكونات الإضافية لموقع الويب، معظمها في WordPress، وقاموا ببناء ماسحات ضوئية آلية لإطلاق تلك الثغرات على قوائم الأهداف الضخمة المأخوذة من FOFA، وهو محرك بحث صيني للأنظمة المتصلة بالإنترنت، على غرار Shodan.

عندما يقوم أحد المواقع بتشغيل إصدار ضعيف، يمكن للاستغلال تحميل webshell: وهو برنامج نصي صغير يتيح للمهاجم تشغيل الأوامر على الخادم من أي مكان، وقراءة الملفات، وسرقة كلمات المرور، والتحرك بشكل أعمق في الشبكة.

غطت مجموعة الأدوات 27 عيبًا معروفًا، على الرغم من أن عددًا قليلًا منها قام بمعظم العمل. كان المنتج الأكبر هو خلل في البرنامج الإضافي للتخزين المؤقت Breeze (CVE-2026-3844)، والذي أطلق الطاقم النار عليه على أكثر من 45000 هدف، ووفقًا لإحصائه الخاص، تمكن من الوصول إلى أكثر من 17000 منها.

يأتي هذا مع ملاحظة: فهو يعمل فقط عند تشغيل إعداد “Host Files Locally – Gravatars” غير الافتراضي، لذلك لم يتم الكشف عن معظم عمليات تثبيت Breeze مطلقًا.

الأرقام بعبارات واضحة

الرقم الرئيسي يحتاج إلى التحذير. الرقم 1.4 مليون هو عدد النطاقات الموجودة في القوائم المستهدفة، وليس عدد النطاقات التي تم اقتحامها، وتمتد تلك القوائم إلى WordPress وJoomla ومنصات أخرى. وكان أكبر ملف منفرد عبارة عن قائمة تضم 587.034 هدفًا لـ Joomla.

كان العدد الذي تم اختراقه بالفعل أصغر بكثير، وقام فريقا البحث بقياسه بشكل مختلف: فقد وجد العد المكرر لـ Ctrl-Alt-Intel 25,195 موقعًا تحتوي على أدلة اختراق مؤكدة أو تم التحقق من صحتها، في حين أن SOCRadar، الذي قام بإحصاء صفحات الويب النشطة، قدّر الرقم المباشر بأكثر من 5,700.

ويظهر أحد العيوب هذه الفجوة بوضوح: فقد تم إطلاق خطأ في Joomla على أكثر من 560 ألف هدف، لكنه سقط على 77 هدفًا فقط.

إن وجودك في قائمة المسح الخاصة بشخص ما لا يعني التعرض للاختراق. ضع ذلك في الاعتبار عندما يؤدي التقرير إلى رقم مستهدف مخيف.

الأدوات وحملة سابقة

كان الباب الخلفي الرئيسي، وهو ملف يسمى down.php، غامضًا للغاية، وعميقًا بأربع طبقات، ويبدو أنه مشتق من شبكة ويب صينية مفتوحة المصدر تسمى BestShell. بمجرد تشغيله، يمكنه إدارة الملفات، وتشغيل الأوامر، وفتح الأصداف العكسية، وفحص الشبكة، والتحقق من برنامج الأمان الذي كان المضيف يعمل عليه.

للوصول عن بعد، استخدم الطاقم قطارة SNOWLIGHT لتثبيت VShell، وهو باب خلفي خفي يخفي اسم العملية الخاص به على أنه [kworker/0:2] للمزج مع سلاسل العمليات kernel في قائمة العمليات.

هاتان الأداتان لهما تاريخ: في أبريل 2025، ربط Sysdig سلسلة SNOWLIGHT إلى VShell بالمجموعة الحكومية الصينية المشتبه بها UNC5174، وهو النشاط الذي غطته THN في ذلك الوقت. ومع ذلك، فإن VShell نفسها هي أداة شائعة في الدوائر الإجرامية الناطقة بالصينية، لذا فإن وجودها وحده لا يشير إلى جهة فاعلة تابعة للدولة.

احتفظ الخادم أيضًا بآثار لوظيفة سابقة مختلفة تمامًا. وجدت SOCRadar أنه قبل فورة WordPress الصاخبة، قام نفس الطاقم بحملة أكثر هدوءًا في أوائل مايو 2026 ضد أنظمة Java الخاصة بالشركة. لقد قامت بسحب 613 ملف تكوين من 11 نظامًا عبر تسع شركات في مجال التكنولوجيا المالية والتجارة الإلكترونية والخدمات اللوجستية والألعاب والإلكترونيات.

تضمنت عملية النقل مفاتيح تسجيل الدخول السحابية لـ AWS، وAlibaba Cloud، وOracle، وTencent، وDigitalOcean، وكلمات مرور قاعدة البيانات، ومفاتيح Alipay RSA الخاصة. لقد استندت إلى خطأ قديم ومعروف في Nacos، وهو خادم التكوين (CVE-2021-29441)، الذي يسمح للمهاجم بتخطي تسجيل الدخول عن طريق تزوير رأس ويب واحد.

تقرأ SOCRadar التوقيت كتسلسل: احصل على أوراق اعتماد الشركات ذات القيمة العالية أولاً، ثم انتقل بعد أسابيع إلى العمل الخلفي ذي الحجم الأكبر، وهي جولة تمويل قبل التوسع.

حرفة تجارية قذرة

يقيم كلا الفريقين بثقة متوسطة إلى عالية أن المشغل صيني أو ناطق باللغة الصينية. ويشيرون إلى اللغة الصينية المبسطة بطلاقة طوال تاريخ التعليمات البرمجية والأوامر، والاعتماد على FOFA (الذي لاحظ الباحثون أنه يحتاج إلى رقم هاتف صيني للتسجيل)، وأدوات Godzilla وVShell المفضلة في المنتديات الناطقة باللغة الصينية.

وتذهب SOCRadar إلى أبعد من ذلك، حيث ترى أن الطاقم لديه دوافع مالية وليس موجهًا من الدولة. يتم التعامل مع الأسماء الموجودة في الملفات (tance، chen-kk، chenyk) على أنها خيوط فضفاضة، وليست دليلاً. هناك نهاية واحدة بارزة: عنوان IP واحد في تايوان قدم أكثر من 42000 طلب لتنزيل الأدوات الخاصة بالطاقم. يمكن أن يكون مشغلًا ثانيًا أو عميلاً أو باحثًا آخر. لا يمكن للسجلات تسوية ذلك.

بالنسبة لمجموعة تدير سلسلة أدوات قادرة حقًا، كان الطاقم مهملًا. لقد تركت الخادم مفتوحًا، وتركت ملف تكوين FOFA الذي يمكن لـ FOFA تتبعه من خلال قناة إنفاذ القانون الخاصة به، وتركت سجل أوامر غير محرر يوضح الأمر برمته. وعندما لاحظت أخيرًا أنه تم رصدها، في وقت ما بين 2 و4 يوليو، حذفت مجموعة من أسطر السجل. ثلاثة أسابيع متأخرة جداً.

الخطأ الفادح مألوف. وفي مارس/آذار 2026، اكتشف نفس متجر الأبحاث شبكة Fancy Bear (APT28) الروسية بنفس الطريقة: حيث قام دليل مفتوح منسي بتسريب أدوات وسجلات التصيد الخاصة بالمجموعة، في حملة Hunt.io تسمى Operation Roundish.

ماذا تفعل الآن

إذا قمت بتشغيل أي من البرامج المستهدفة، فتحقق منها اليوم. هذه ليست أخطاء غامضة: اثنان منها قيد الاستغلال النشط في مكان آخر.

تتبعت Wordfence عشرات الآلاف من الهجمات المحظورة ضد ثغرة Everest Forms Pro (CVE-2026-3300) هذا الربيع، وتعد ثغرة Joomla JCE (CVE-2026-48907) ثغرة شديدة الخطورة أضافتها CISA إلى قائمة الثغرات الأمنية المستغلة المعروفة.

  • ووردبريس وجوملا أولاً: تصحيح Breeze (CVE-2026-3844، تم إصلاحه في 2.4.5) إذا كان الإعداد غير الافتراضي “Host Files Locally – Gravatars” قيد التشغيل؛ لقد أنتجت أكبر عدد من الأبواب الخلفية هنا. تعامل مع خلل Joomla JCE (CVE-2026-48907، الذي تم إصلاحه في 2.9.99.5) باعتباره أمرًا عاجلًا أيضًا، نظرًا لأنه يمثل الحد الأقصى من الخطورة ومدرجًا في قائمة CISA المستغلة بشكل نشط، على الرغم من أنه بالكاد وصل إلى هذه الحملة.
  • WordPress وJoomla، تحقق أيضًا من: إضافات ThemeREX (CVE-2026-1969)، قائمة الملفات البسيطة (CVE-2020-36847)، Custom CSS JS PHP (CVE-2026-6433)، BerqWP (CVE-2025-7443)، تحميلات Ninja Forms (CVE-2026-0740)، WavePlayer (CVE-2025-12057)، WPBookit (CVE-2025-7852)، وWP File Manager (CVE-2020-25213). يسرد كلا التقريرين قائمة الملفات البسيطة ضمن CVE-2025-34085، وهي نسخة مكررة مرفوضة الآن؛ المعرف الصالح هو CVE-2020-36847.
  • الناكوس: قم بالترقية إلى الإصدار 2.2.1 أو الأحدث وقم بتشغيل المصادقة (nacos.core.auth.enabled=true). إذا تم الكشف عن مثيلك، فقم بتدوير كل بيانات الاعتماد الموجودة فيه، وليس فقط تلك الواضحة.
  • XXL-Job وSpring Boot: أغلق نقاط نهاية المنفذ غير المصادق عليها وقم بتعطيل /actuator/heapdump في الإنتاج.
  • البحث عن الأبواب الخلفية: ابحث عن أنماط أسماء ملفات webshell الخاصة بالطاقم، مثل .bd.php و.wp-log.php و.brq-*.php. ثم تحقق من أي عملية اسمها [kworker/X:Y]. لا يقوم مؤشر ترابط النواة الحقيقي بتشغيل أي برنامج خاص به، لذلك لا يشير /proc//exe الخاص به إلى أي شيء. كما أنه لا يحتوي على سطر أوامر ولا مآخذ شبكة. أ [kworker] فالذي يدل على أن أيًا من هؤلاء محتال. حجب البنية التحتية المعروفة: 137.175.93[.]126، 43.108.17[.]80، والمجال xs.xxooonline[.]الاتحاد الأوروبي[.]نسخة.

ما يجعل WP-SHELLSTORM يستحق الاهتمام ليس مدى تقدمه، بل مدى عاديته. كانت عمليات الاستغلال العامة، والمسح الآلي، وقائمة الأهداف التي يبلغ طولها مليون سطر كافية لاختراق المواقع على نطاق واسع، دون الحاجة إلى يوم صفر. التفاصيل متاحة للعامة فقط لأن الطاقم نسي إغلاق الخادم الخاص به.

تواصلت Hacker News مع SOCRadar للحصول على مزيد من التفاصيل حول النتائج التي توصلوا إليها وسوف تقوم بتحديث هذه القصة بأي رد.

شاركها.
اترك تعليقاً