تصاعد الهجمات الخبيثة المرتبطة بمضيف روسي مضاد للملاحقة

تصاعد الهجمات الخبيثة المرتبطة بمضيف روسي مضاد للملاحقة
تصاعد الهجمات الخبيثة المرتبطة بمضيف روسي مضاد للملاحقة
شارك هذا الخبر

كشف باحثو الأمن السيبراني عن ارتفاع ملحوظ في نشاطات الاختراق الإلكتروني، والتجسس الرقمي، ومحاولات التخمين القسري لكلمات المرور، جميعها منسوبة إلى مزوّد استضافة روسي يُعرف باسم Proton66، وهو من مقدمي خدمات “الاستضافة المضادة للملاحقة” أو ما يُعرف بـ Bulletproof Hosting.

وبحسب تحليل نُشر على مرحلتين من قبل فريق Trustwave SpiderLabs، فإن هذه الأنشطة الخبيثة بدأت في 8 يناير 2025، واستهدفت مؤسسات ومنظمات حول العالم دون تمييز.

تفاصيل فنية وعناوين IP مثيرة للقلق

أظهرت التحقيقات أن الشبكتين 45.135.232.0/24 و45.140.17.0/24 التابعتين لـ Proton66 كانتا نشطتين بشكل خاص في المسح الجماعي عبر الإنترنت ومحاولات التخمين القسري. المثير في الأمر أن بعض عناوين IP المستخدمة لم تكن نشطة أو مرتبطة بأنشطة ضارة منذ أكثر من عامين، مما يشير إلى عودة منهجية لعناصر تهديد نائمة.

ويرتبط Proton66 بنظام مستقل آخر يُدعى PROSPERO، وهو ما أشار إليه تقرير سابق من شركة Intrinsec الفرنسية، مؤكدة أن بعض خدمات الاستضافة التي يتم تسويقها في منتديات الجريمة السيبرانية الروسية تحت أسماء مثل Securehost وBEARHOST تنتمي لنفس البنية التحتية.

البنية التحتية كقاعدة لإطلاق برمجيات خبيثة متعددة

تم رصد استضافة Proton66 لخوادم التحكم والسيطرة (C2 Servers) لعدة عائلات من البرمجيات الخبيثة، مثل:

  • GootLoader

  • SpyNote

  • XWorm

  • StrelaStealer

  • WeaXor Ransomware (نسخة محدثة من Mallox)

كما أشار تحقيق للصحفي الأمني Brian Krebs إلى أن Prospero بدأ في تمرير عملياته عبر شبكات مرتبطة بشركة Kaspersky Lab الروسية، وهو ما نفته كاسبرسكي لاحقًا، موضحة أن ظهورها في مسار التوجيه (AS Path) لا يعني استخدام خدمتها بالضرورة.

استغلال ثغرات حرجة لتعزيز الهجوم

وفقًا لتقرير Trustwave، استُخدم أحد عناوين Proton66 (193.143.1[.]65) في فبراير 2025 لمحاولة استغلال عدة ثغرات خطيرة وحديثة، أبرزها:

  • CVE-2025-0108 (تجاوز مصادقة في PAN-OS من Palo Alto Networks)

  • CVE-2024-41713 (تحقق غير كافٍ من الإدخال في نظام Mitel MiCollab)

  • CVE-2024-10914 (حقن أوامر في أجهزة D-Link NAS)

  • CVE-2024-55591 وCVE-2025-24472 (تجاوز مصادقة في Fortinet FortiOS)

ويُعتقد أن ثغرتي Fortinet قد استُغلتا من قبل وسيط وصول أولي يُدعى Mora_001، الذي يستخدم برمجية فدية جديدة باسم SuperBlack.

استهداف مواقع WordPress ومستخدمي أندرويد

رُصد استخدام مواقع WordPress مخترقة من خلال عنوان Proton66 (91.212.166[.]21) لإعادة توجيه مستخدمي أجهزة أندرويد إلى صفحات تصيّد تحاكي متجر Google Play، بهدف خداعهم لتحميل تطبيقات APK ضارة.

هذه الحملة تستهدف على وجه التحديد المستخدمين الناطقين بالفرنسية والإسبانية واليونانية، من خلال شيفرات JavaScript مشفّرة تقوم بعدة فحوصات، مثل:

  • استثناء برامج التتبع (crawlers)

  • التأكد من عدم استخدام VPN أو بروكسي

  • التأكد من أن الجهاز المتصل يعمل بنظام Android قبل تنفيذ التوجيه

هجمات تستهدف مستخدمي الدردشة الكوريين والألمان

استضاف أحد عناوين Proton66 أيضًا ملفًا مضغوطًا (ZIP) يحتوي على برمجية XWorm موجهة لمستخدمي غرف الدردشة الناطقين بالكورية. تبدأ الهجمة باختصار (LNK) على ويندوز ينفذ أمرًا باستخدام PowerShell، الذي بدوره يشغّل سكربت VBScript لتحميل ملف DLL مشفّر بـ Base64، ثم يُحمّل ويُشغّل برمجية XWorm.

كما تم استخدام البنية التحتية نفسها في إرسال حملات تصيّد إلكتروني تستهدف المستخدمين الناطقين بالألمانية عبر برمجية StrelaStealer، والتي تتصل بعنوان C2 تابع لـ Proton66 (193.143.1[.]205).

تحذير وتوصيات للمنظمات حول العالم

رُصدت أيضًا مؤشرات لبرمجية الفدية WeaXor تتصل بخادم C2 داخل شبكة Proton66 (193.143.1[.]139). بناءً على هذه الاكتشافات، تنصح شركات الأمن السيبراني المؤسسات حول العالم بحظر جميع نطاقات CIDR المرتبطة بـ Proton66 ومزود الاتصالات المرتبط به “Chang Way Technologies” في هونغ كونغ، من أجل تقليل المخاطر المحتملة.

وسوم
محمد وهبى
محمد وهبى
المقالات: 151

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة