كشف باحثون في الأمن السيبراني تفاصيل حملة نشطة لاختطاف حركة الويب عبر استغلال إعدادات خبيثة في خادم NGINX، أحد أكثر البرمجيات استخداماً في إدارة حركة الإنترنت. الحملة لم تقتصر على استهداف المواقع التجارية، بل امتدت لتشمل نطاقات عليا في آسيا مثل (.in، .id، .pe، .bd، .th)، إضافة إلى البنية التحتية الصينية عبر لوحة إدارة Baota (BT)، فضلاً عن نطاقات حكومية وتعليمية (.edu، .gov).
ووفقاً لمختبرات Datadog Security Labs، فإن المهاجمين المرتبطين بثغرة React2Shell (CVE-2025-55182) ذات التصنيف الأعلى في الخطورة (10.0) استخدموا هذه الإعدادات الخبيثة لاعتراض حركة المرور الشرعية بين المستخدمين والمواقع، وتحويلها إلى خوادم خلفية تحت سيطرتهم.
أدوات متعددة المراحل لتثبيت السيطرة
الحملة اعتمدت على مجموعة من السكربتات البرمجية المصممة بعناية لتسهيل الاستمرارية وإنشاء ملفات إعدادات خبيثة. من أبرز هذه الأدوات:
- zx.sh: يعمل كمنسق رئيسي ينفذ المراحل التالية باستخدام أدوات مثل curl أو wget، وفي حال حظرها ينشئ اتصال TCP مباشر لإرسال الطلبات.
- bt.sh: يستهدف بيئة لوحة إدارة Baota لإعادة كتابة ملفات إعدادات NGINX.
- 4zdh.sh: يقوم بتعداد مواقع الإعدادات الشائعة في NGINX ويقلل من احتمالية الأخطاء عند إنشاء التهيئة الجديدة.
- zdh.sh: يركز على بيئات لينكس أو الحاويات المستندة إلى NGINX مع استهداف نطاقات عليا محددة مثل .in و .id.
- ok.sh: مسؤول عن توليد تقارير تفصيلية حول جميع قواعد الاختطاف النشطة.
هذه الأدوات مجتمعة تشكل صندوق أدوات متكامل يتيح للمهاجمين اكتشاف الأهداف، تثبيت وجود دائم، وإعادة توجيه حركة المرور عبر أوامر proxy_pass التي تُمكّن من السيطرة الكاملة على مسارات البيانات.
مؤشرات الهجوم وأبعاد ما بعد الاستغلال
أوضح الباحث ريان سيمون أن الحملة لا تزال نشطة، وأنها تمثل تهديداً واسع النطاق للبنية التحتية الرقمية. ووفقاً لشركة GreyNoise، فإن عنواني IP محددين (193.142.147[.]209 و87.121.84[.]24) شكّلا ما يقارب 56% من محاولات الاستغلال المرصودة بعد شهرين من الكشف عن ثغرة React2Shell.
كما تم تسجيل أكثر من 1,083 عنوان IP فريد شارك في عمليات الاستغلال بين 26 يناير و2 فبراير 2026. المهاجمون استخدموا أسلوبين مختلفين بعد الاختراق: الأول لجلب برمجيات تعدين العملات الرقمية، والثاني لفتح قنوات وصول مباشرة عبر reverse shells، ما يعكس اهتماماً بالوصول التفاعلي أكثر من مجرد استخراج الموارد بشكل آلي.
خلفيات مرتبطة بحملات استطلاع منسقة
تأتي هذه التطورات بالتزامن مع رصد حملة استطلاع منسقة استهدفت بوابات Citrix ADC Gateway وNetscaler Gateway، حيث استخدم المهاجمون عشرات الآلاف من البروكسيات السكنية إضافة إلى عنوان IP واحد تابع لخدمات Microsoft Azure لاكتشاف لوحات تسجيل الدخول.
الحملة عملت في نمطين متكاملين: الأول عبر توزيع واسع باستخدام بروكسيات سكنية لتحديد لوحات الدخول، والثاني عبر هجوم مركز مستضاف على AWS للكشف عن الإصدارات. هذا التنسيق يعكس أهدافاً مزدوجة تتمثل في العثور على لوحات الدخول وتحديد نسخ البرمجيات، وهو ما يشير إلى مستوى عالٍ من التنظيم والتخطيط.
