في حملة تهديد رقمي مدروسة تستغل نتائج محركات البحث، رصد باحثو الأمن حملة تستخدم تسميم تحسين محركات البحث (SEO poisoning) لخداع المستخدمين وتحميل مُثبت مزوّر لعميل Ivanti Pulse Secure VPN. تهدف الحملة إلى انتزاع بيانات اعتماد الـ VPN المخزنة على الأجهزة، تمهيدًا لاختراقات لاحقة أوسع نطاقًا.
نموذج الهجوم: مواقع مقلّدة وروابط بحث مُضلِّلة
تعتمد الحملة على إنشاء صفحات ومواقع شبيهة بمواقع التحميل الشرعية ثم رفع ترتيبها في صفحات نتائج محركات البحث لاصطياد الباحثين عن برامج رسمية مثل عميل Ivanti. يُعاد توجيه الضحايا إلى نطاقات يتحكّم بها المهاجمون (على سبيل المثال: ivanti-pulsesecure[.]com أو ivanti-secure-access[.]org)، حيث يُعرض عليهم تنزيل مُثبت يبدو أصليًا. هذه المقاربة تستغل ثقة المستخدمين بنتائج البحث والبحث السريع عن حلول العمل عن بُعد، خصوصًا في المؤسسات التي تواصل الاعتماد على شبكات الـ VPN.
التقنية الخبيثة: مُثبت موقع يحتوي على DLL لسرقة الاعتمادات
المثبت الخبيث يصل إلى الجهاز على شكل ملف MSI موقّع — ما يمنحه مظهراً رسمياً يساعد على تجاوز حواجز الشك لدى بعض الأنظمة أو المستخدمين. داخل هذا MSI، تضمّن المهاجمون مكتبة ديناميكية خبيثة (DLL) مصمّمة للبحث عن بيانات اتصال الـ VPN وتحليلها وسحبها من الجهاز المصاب. تركز الشيفرة الخبيثة على ملف باسم connectionstore.dat لاستخراج عناوين خوادم الـ VPN ونقاط الاتصال المحفوظة، ثم تجمع هذه المعلومات مع بيانات اعتماد ثابتة (hardcoded credentials) لتجميع حزمة بيانات قابلة للاستخراج. تُرسل البيانات لاحقًا إلى خوادم قيادةٍ وتحكُّم (C2) مستضافة على بنية تحتية سحابية — ذكر الباحثون أن بعض خوادم C2 استُخدمت عبر موارد مستضافة على Microsoft Azure — ما يعقّد عملية التتبّع ويربك دفاعات الشبكة.
الخلفيات والأثر: لماذا هذا الخطر كبير؟ وما الذي يميّزه؟
هجوم تسميم نتائج البحث ليس جديدًا، لكنه يزداد فاعلية عندما يستهدف برمجيات شبكة افتراضية خاصة مستخدمة على نطاق واسع داخل المؤسسات. سرقة بيانات اعتماد الـ VPN تتيح للمهاجمين:
-
الوصول إلى شبكات داخلية دون المرور ببوابات الحماية الخارجية.
-
التحرك لاحقًا جانبًا (lateral movement) بين أنظمة المؤسسة.
-
عقد صفقة مع برمجيات خبيثة إضافية لاستغلال الوصول المسلوق (privileged access) لسرقة بيانات أو نشر فدية.
استخدام مثبت موقّع يُقلّل من مشتبهية البرمجية لدى نظم الحماية التقليدية، بينما يسهّل استضافة خوادم التحكم على سحابات كبيرة إخفاء أصول الهجوم وراء خدمات تبدو مشروعة.
توصيات فنية وإجرائية للتخفيف والوقاية
-
تحميل البرامج من المواقع الرسمية والمصادر الموثوقة فقط، وتدقيق أسماء النطاقات بعناية قبل النقر.
-
التحقق من سلامة التوقيع الرقمي للملف وتوافقه مع مزوّد البرامج قبل التثبيت.
-
تفعيل حماية نقاط النهاية القادرة على فحص حزم MSI والكشف عن DLLs المشبوهة وسلوكيات سرقة الاعتمادات.
-
تطبيق المصادقة متعددة العوامل (MFA) على بوابات الـ VPN وعدم الاعتماد حصريًا على الاعتمادات المخزنة.
-
روتين تدوير كلمات المرور ومراجعة سجلات الوصول للكشف المبكر عن نشاطات غير معتادة.
-
مراقبة حركة الشبكة الصادرة لاكتشاف اتصالات مشبوهة بخوادم C2، لا سيما تلك المستضيفة على سحابات عامة، والتحقق من قائمة عناوين IP وسماتها.
