مهاجم مبتدئ يستخدم Tailscale وOpenSSH للحفاظ على الوصول بعد سقوط C2

في حادثة لافتة، تمكن مهاجم فرنكوفوني يُعرف بالاسم المستعار “Poisson” من اختراق شركة سيارات صغيرة في فرنسا، وزرع keylogger لسرقة بيانات الدخول البنكية والبريد الإلكتروني. لكن المفاجأة جاءت في خطوته الأخيرة: قبل أن يتوقف خادم التحكم والسيطرة (C2) عن العمل، قام بتثبيت OpenSSH وTailscale على جهاز الضحية، ليبني قناة وصول مستقلة لا تعتمد على البنية التحتية الأصلية.

تفاصيل العملية

• الهجوم استمر 33 يومًا، تخلله 339 أمرًا موثقًا من لوحة مفاتيح المهاجم.
• البنية كانت بسيطة: DuckDNS، Backblaze B2، وخادم VPS رخيص في برلين.
• رغم ضعف الحرفية، تمكن من اختراق أربعة أجهزة، مستخدمًا أدوات مجانية ومفتوحة المصدر.

سلسلة الهجوم

• بدأ بـ VBScript مع تأخير لتفادي الـ sandbox.
• حمّل PowerShell loader، ثم .NET loader لتشغيل عميل Havoc Demon في الذاكرة دون كتابة على القرص.
• حاول الحصول على صلاحيات إدارية عبر Start-Process -Verb RunAs، ما تطلب موافقة المستخدم يدويًا.
• ثبّت مهام مجدولة بامتيازات عالية، وحقن shellcode في Explorer.exe، وأعد قناة احتياطية عبر RustDesk.
• الـ keylogger كان مجرد سكربت Python من 70 سطرًا يخزن ضغطات المفاتيح محليًا، ليجمعها المهاجم يدويًا لاحقًا.

الخطوة الحاسمة

في ليلة 7 أبريل، وخلال جلسة استمرت خمس ساعات، قام بتثبيت OpenSSH Server وTailscale، وربط جهاز الضحية بشبكته الخاصة، وأعد نفقًا عكسيًا عبر SSH.
بهذا أصبح بإمكانه الوصول إلى الجهاز عبر شبكة Tailscale المشفرة، دون الحاجة إلى خادم C2 أو منافذ مكشوفة.
وعندما توقف خادم Havoc في اليوم التالي، ظل الوصول قائمًا. وعند عودة الخادم بعد 18 يومًا، أعادت الوكلاء الاتصال تلقائيًا دون إعادة اختراق.

الدروس المستفادة

• إسقاط خادم C2 لا يعني إنهاء الاختراق إذا كان المهاجم قد أنشأ قناة بديلة.
• الأدوات الشرعية مثل Tailscale وOpenSSH يمكن أن تتحول إلى قنوات خفية يصعب رصدها.
• يجب مراقبة مؤشرات محددة مثل:
  • تثبيت OpenSSH على أجهزة Windows.
  • وجود tailscale.exe على أجهزة لا تحتاج VPN.
  • أنفاق SSH عكسية.
  • تشغيل VBScript عبر wscript.exe من مجلدات المستخدم.
  • مهام مجدولة بامتيازات عالية.
  • تغييرات في إعدادات الطاقة لإبقاء الأجهزة مستيقظة.

ما لم يُكشف بعد

الغموض الأكبر بقي في ملف Thales.zip، حيث شغّل المهاجم برنامجين مجهولين لمدة 32 دقيقة قبل أن يحذف 17 ملفًا ويختفي. لم يُعرف بعد ما الذي كان يبحث عنه، لكن المؤكد أن الهدف كان ضيقًا: بيانات اعتماد مالية وبريدية، دون انتشار أفقي أو هجمات فدية.