الجهات الفاعلة التهديدية المرتبطة أنوبيس تمت ملاحظة عملية فدية تستغل ثغرة Citrix Bleed 2 (CVE-2025-5777) للحصول على الوصول الأولي.

وقالت آركتيك وولف في تقرير نُشر هذا الأسبوع: “على الرغم من اختلاف التكتيكات بين الشركات التابعة، فقد ظهرت أنماط مشتركة في التجارة من خلال استخدام أدوات الإدارة والمراقبة عن بعد (RMM) المشروعة، والوصول إلى بيانات الاعتماد، والإجراءات العملية على لوحة المفاتيح المستخدمة للحركة الجانبية”.

“لقد أساءت الشركات التابعة لشركة Anubis بشكل متكرر استخدام أدوات الوصول والإدارة المشروعة عن بُعد، بما في ذلك ScreenConnect وZoho Assist وMeshAgent وRemotely وUltraVNC وTotal Software Deployment، للتوافق مع نشاط تكنولوجيا المعلومات العادي مع الحفاظ على السيطرة على الأنظمة الضحية.”

Anubis هي مجموعة من برامج الفدية كخدمة (RaaS) ظهرت لأول مرة في أواخر عام 2024 كعلامة تجارية جديدة لبرنامج Sphinx Ransomware. تم الإعلان عن عملية برامج الفدية رسميًا في المنتدى السري للحماية من برامج الفدية والبرامج الضارة المتقدمة (RAMP) في فبراير 2025. ووفقًا لبيانات من Ransomware.Live، فقد أودى طاقم مكافحة الجرائم الإلكترونية بحياة 91 ضحية على موقع تسرب البيانات الخاص به، مع الإبلاغ عن 11 ضحية في يونيو 2026 وحده.

وتشمل بعض القطاعات البارزة المستهدفة الرعاية الصحية وخدمات الأعمال والتصنيع والتكنولوجيا والخدمات المالية. ويوجد أكثر من 50% من الضحايا في الولايات المتحدة، تليها المملكة المتحدة وأستراليا وفرنسا وكندا.

في تقرير نُشر في يوليو 2025، قالت شركة Rubrik Zero Labs إن شركة Anubis تعلن عن تقسيمات جذابة للأرباح، حيث تقدم للشركات التابعة 80% من مبالغ الفدية المدفوعة، وتقترن بميزة مسح البيانات التي لا رجعة فيها والتي تزيد الضغط على الضحايا للدفع.

وأشار روبيريك في ذلك الوقت إلى أنه “عند تنشيط وحدة Anubis /WIPEMODE، تظل الملفات في الدلائل ولكن يتم تقليل حجمها إلى 0 كيلو بايت بغض النظر عن دفع الفدية”. “إن معرفة الجهات الفاعلة التهديدية يمكنها إعادة بيئات الضحايا إلى حالة الأرض المحروقة هذه بأمر واحد، مما يزيد بشكل كبير الضغط على الضحايا للدفع قبل تفعيل الماسحة بالكامل.”

تتضمن عمليات اقتحام برامج الفدية، التي تمت ملاحظتها هذا العام، استخدامًا صالحًا لبيانات اعتماد VPN واستغلال CVE-2025-5777 (درجة CVSS: 9.3)، وهو عيب خطير يؤثر على Citrix NetScaler ADC وGateway والذي يمكن إساءة استخدامه من قبل مهاجم لتجاوز المصادقة عندما يتم تكوين الجهاز كبوابة أو خادم افتراضي AAA.

المصدر الدقيق لبيانات اعتماد VPN المستخدمة في عمليات الاقتحام هذه غير معروف. ومع ذلك، فمن الممكن أن يتم شراؤها بعد تسوية مسبقة، أو من خلال وسطاء الوصول الأولي (IABs)، أو حشو بيانات الاعتماد، أو نشاط سرقة المعلومات.

“بالإضافة إلى استغلال CitrixBleed 2، تمت ملاحظة عمليات تسجيل دخول صالحة لـ Cisco AnyConnect VPN من العديد من ASNs المضيفة، بما في ذلك AS20473 — The Constant Company وAS55286 — ServerMania،” أوضح Arctic Wolf. “بعد ذلك، أعقب مصادقة VPN الضارة نشاط تسجيل دخول يشتمل على RDP وSMB، مما أدى إلى الوصول إلى بيانات الاعتماد وإنشاء خدمة PsExec ونشر RMM واستدعاء أدوات النقل السحابي في النهاية للتسلل.”

يتم تسهيل الحركة الجانبية عبر RDP وPsExec، مما يؤدي بعد ذلك إلى نشر العديد من أدوات RMM المشروعة للوصول المستمر، مما يمنح المهاجمين القدرة على نقل الملفات وتنفيذ التعليمات البرمجية عن بعد، مع البقاء تحت الرادار. حدد عمليات التطفل أيضًا وقم بتكوين نفق Cloudflare (المعروف أيضًا باسم cloudflared) لإنشاء أنفاق لبيئات الضحية.

تتضمن المرحلة التالية من الهجمات جمع بيانات الاعتماد لتسهيل الوصول بشكل أعمق إلى البيئة المخترقة، وبعد ذلك يتم تثبيت أدوات مثل S3 Browser وrclone وs5cmd وWinSCP وPuTTY لنقل البيانات أو الترشيح قبل نشر برامج الفدية. بالتوازي، يتم اتخاذ خطوات لإضعاف دفاعات النظام وتعقيد التحليل بعد الحادث.

وأوضحت شركة الأمن السيبراني: “تتضمن هذه التقنيات تعطيل الحماية في الوقت الفعلي لـ Windows Defender، ونشاط SophosUninstall، والعناصر المرتبطة بـ PCHunter، ومسح السجل أو التلاعب به عبر أنظمة متعددة”. “في عملية اقتحام واحدة على الأقل، تم حذف تشفير Anubis بعد التنفيذ، مما يقلل من توفر عناصر الحمولة النافعة على القرص لتحليلها لاحقًا.”

تفاصيل عودة السادة إلى الباب الخلفي واستغلال يوم 0

ويأتي الكشف كما هو مفصل كاسبيرسكي السادة استغلال مجموعة RaaS لنقاط الضعف المعروفة وبيانات اعتماد تسجيل الدخول المسروقة أو الضعيفة لاختراق الأهداف واستخدامها للباب الخلفي القائم على Go لتمكين تنفيذ الأوامر عن بعد بعد الاستطلاع، والحركة الجانبية من خلال Group Policy أو PsExec، والتهرب الدفاعي باستخدام تقنية إحضار برنامج التشغيل الضعيف الخاص بك (BYOVD).

تم تصميم عملية الزرع لجمع معلومات النظام ونقلها إلى خادم خارجي (“81.177.215″[.]15:9443”) عبر اتصال TCP ثنائي الاتجاه، وانتظر استجابات المشغل التي يتم تنفيذها بعد ذلك على المضيف باستخدام “cmd.exe” إذا كانت بايت الاستجابة هي “c.” إذا كانت البايت “s”، فسيتم إنشاء اتصال وكيل SOCKS.

وقال كاسبرسكي: “من المحتمل أن تمكّن هذه الوظيفة فريق The Gentlemen’s الأحمر من التركيز داخل الشبكة المستهدفة وتوسيع تغطية المسح الخاصة بهم”. “نظرًا لقدرات غرسة الباب الخلفي، مثل إنشاء اتصال ثنائي الاتجاه، وتنفيذ الأوامر، وإعداد وكيل SOCKS، وجمع المعلومات، فمن الواضح أنه يمكن استخدامها أيضًا لتوسيع سلسلة الهجوم حسب الحاجة.”

وفقًا لـ Expel، قامت مجموعة RaaS أيضًا بتسليح ثغرة يوم الصفر في برنامج تشغيل بائع تابع لجهة خارجية غير معروف كجزء من ترسانة BYOVD الخاصة بها للحصول على وصول على مستوى kernel، وتجاوز الحماية الأمنية لنظام Windows، وقتل عمليات الأمان المحمية المرتبطة بـ Microsoft وESET وPalo Alto Networks وSentinelOne. برنامج التشغيل المعني هو ktapi.sys، وهو جزء من واجهة برمجة التطبيقات (API) التي طورتها شركة Kontron.

وقال ماركوس هاتشينز: “لا يزال من غير الواضح كيف استحوذت الجهات الفاعلة في مجال التهديد على الملف أو علمت بضعفه”. “لا يزال BYOVD يمثل تهديدًا كبيرًا للمؤسسات، حيث يمكّن المهاجمين من تعطيل أحدث أنظمة أمان نقطة النهاية في ثوانٍ. وحتى استخدام أحدث إصدار من Windows، مع تمكين جميع عمليات تخفيف الاستغلال، لا يوفر حماية كاملة.”

شراكة VECT وTeamPCP لبرامج الفدية

وتأتي النتائج أيضًا في أعقاب تحقيق أجرته وحدة سوفوس لمكافحة التهديدات في الشراكة بين فيكت وTeamPCP الذي تم الإعلان عنه في مارس 2026 للجمع بين سرقة بيانات الاعتماد المستندة إلى هجمات سلسلة التوريد ونشر برامج الفدية.

وقالت سوفوس في تقرير تمت مشاركته مع The Hacker News: “إن الشراكة الرسمية بين TeamPCP وVECT تسمح لـ VECT بنشر برامج الفدية عبر جميع المؤسسات التي تم اختراقها في هجمات سلسلة التوريد Trivy وLiteLLM”. “قبل شراكة VECT، كان TeamPCP يدير عملية أخرى لبرامج الفدية تحت العلامة التجارية CipherForce. وقد أدرجت CipherForce ستة ضحايا في موقع التسرب الخاص بها في فبراير 2026 وأعيدت تسميتها كموقع تسرب TeamPCP في مايو.”

وجدت التحليلات الأخيرة من Check Point وJUMPSEC أن VECT يحتوي على عيوب في التنفيذ تتسبب في تدمير أي ملف أكبر من 128 كيلو بايت بشكل دائم بدلاً من تشفيره، مما دفع TeamPCP إلى إصدار بيان يفيد بأنهم لم يستخدموا مطلقًا برنامج تشفير VECT في الهجمات. وزعمت المجموعة: “نحن نملك CipherForce، خزانتنا الخاصة”.

وقالت سوفوس: “يمثل تحالف Vect/TeamPCP تحولًا كبيرًا في مشهد تهديدات برامج الفدية، حتى مع مراعاة أوجه القصور التقنية التي تقوض فعاليته التشغيلية”.

“يشكل التقارب بين سرقة بيانات اعتماد سلسلة التوريد واسعة النطاق، وعملية RaaS الناضجة، والتعبئة الجماعية للمنتدى السري نموذجًا غير مسبوق لنشر برامج الفدية الصناعية التي تقلل بشكل كبير من حاجز دخول الجرائم الإلكترونية.”

شاركها.
اترك تعليقاً