كشفت مايكروسوفت عن سلسلة هجمات سيبرانية معقدة استهدفت خوادم مكشوفة تعمل ببرنامج SolarWinds Web Help Desk (WHD)، حيث تمكن المهاجمون من الحصول على وصول أولي غير مصرح به ثم التحرك أفقياً داخل الشبكات للوصول إلى أصول عالية القيمة. وأوضحت الشركة أن الهجمات وقعت في ديسمبر 2025، مستغلة ثغرات أمنية حديثة مثل CVE-2025-40551 (بدرجة خطورة 9.8) وCVE-2025-40536 (بدرجة 8.1)، إضافة إلى ثغرات قديمة مثل CVE-2025-26399.
ورغم أن الفريق البحثي في مايكروسوفت لم يتمكن من تحديد الثغرة المستغلة بدقة، إلا أن النتائج تؤكد أن الاستغلال أتاح تنفيذ أوامر عن بُعد عبر التطبيق، مما فتح الباب أمام سلسلة من الأنشطة التخريبية.
مراحل الهجوم وأساليب الاختراق
بعد نجاح الاستغلال، استخدم المهاجمون خدمة BITS عبر PowerShell لتنزيل وتنفيذ حمولة خبيثة. ثم لجأوا إلى تحميل مكونات شرعية من أداة Zoho ManageEngine لتثبيت وصول دائم إلى الأنظمة المصابة.
تضمنت الخطوات اللاحقة:
- استكشاف حسابات حساسة مثل مسؤولي النطاق.
- إنشاء وصول مستمر عبر SSH وRDP، مع محاولة تشغيل آلة افتراضية عبر QEMU لإخفاء الأنشطة.
- تنفيذ هجوم DLL Side-Loading باستخدام ملف نظام شرعي (wab.exe) لتشغيل مكتبة خبيثة وسرقة بيانات اعتماد من ذاكرة LSASS.
- شن هجوم DCSync للحصول على كلمات مرور وبيانات حساسة من قاعدة Active Directory.
تحذيرات الهيئات الأمنية
أضافت وكالة الأمن السيبراني والبنية التحتية الأميركية (CISA) ثغرة CVE-2025-40551 إلى قائمة الثغرات المستغلة فعلياً، وألزمت الوكالات الفيدرالية بتطبيق الإصلاحات قبل 6 فبراير 2026. وأكدت مايكروسوفت أن هذه الهجمات تعكس نمطاً شائعاً لكنه عالي التأثير، حيث يمكن لتطبيق مكشوف واحد أن يقود إلى اختراق كامل للنطاق إذا لم تتم معالجة الثغرات أو مراقبتها بشكل كافٍ.
كما شددت الشركة على أهمية الدفاع متعدد الطبقات، وتحديث الخدمات المكشوفة، واستخدام آليات كشف سلوكية عبر الهوية والأجهزة والشبكات.
تطورات جديدة وتحقيقات إضافية
في تقرير حديث بتاريخ 8 فبراير 2026، أعلنت شركة Huntress أنها حققت في حادثة استغلال جديدة لـ SolarWinds WHD وقعت في 7 فبراير. المهاجمون استخدموا أدوات شرعية مثل Zoho Meetings وCloudflare Tunnels، إضافة إلى أداة جنائية معروفة باسم Velociraptor (إصدار قديم يحتوي على ثغرة تصعيد صلاحيات).
تسلسل الهجوم شمل:
- تثبيت حمولة MSI مرتبطة بـ Zoho ManageEngine.
- تفعيل وصول غير مراقب عبر Zoho Assist وربط الأجهزة المخترقة بحساب بريد ProtonMail.
- نشر نسخة قديمة من Velociraptor لتنفيذ أوامر PowerShell وجمع بيانات النظام.
- تثبيت أداة Cloudflared لإنشاء قناة وصول إضافية.
- تعطيل Windows Defender وFirewall عبر تعديلات في السجل.
- إنشاء مهام مجدولة باستخدام QEMU لفتح باب خلفي عبر SSH.
هذه التطورات تؤكد أن المهاجمين يعتمدون بشكل متزايد على أدوات شرعية لإخفاء أنشطتهم، مما يزيد من صعوبة اكتشافهم ويبرز الحاجة إلى مراقبة دقيقة للسلوكيات غير الاعتيادية داخل الشبكات.
