الوجه المزدوج لـ EncryptHub: باحث أمني وقرصان في آن واحد!

• مساهمات شرعية: حصل على تقدير من Microsoft Security Response Center (MSRC) الشهر الماضي لاكتشافه ثغرات أمنية خطيرة (CVE-2025-24061 و CVE-2025-2407).
• أنشطة خبيثة: في المقابل، كان يشن هجمات إلكترونية باستخدام أدوات تم تطويرها بمساعدة الذكاء الاصطناعي.
• اعترافات غريبة: في محادثاته مع ChatGPT، سأل الروبوت عما إذا كان يجب أن يكون “هاكرًا شريرًا (Black Hat) أم باحثًا أمنيًا (White Hat)”، بل واعترف بنشاطه الإجرامي وتطويره لثغرات استغلالية.

كيف ساعد الذكاء الاصطناعي EncryptHub في جرائمه؟

وفقًا للتحقيقات، استخدم ChatGPT في:

• تطوير برمجيات خبيثة وتحسين كود الهجمات.
• ترجمة نصوص هجومية إلى لغات أخرى لتوسيع نطاق الهجمات.
• تحليل نقاط الضعف في الأنظمة المستهدفة.

درس أمني: ليس كل القراصنة عباقرة!

قالت شركة Outpost24 الأمنية:

“عندما يتخيل الناس قراصنة الإنترنت، غالبًا ما يتصورون فرقًا متطورة مدعومة من الحكومات أو هاكرز نخبويين يستخدمون تقنيات متقدمة. لكن الواقع أن العديد من المخترقين أشخاص عاديون قرروا في لحظة ما السير في الطريق المظلم.”

كيف تحمي مؤسستك من تهديدات الهاكرز المنفردين؟

1. تعزيز المراقبة الأمنية لاكتشاف الأنشطة المشبوهة.
2. تحديث الأنظمة باستمرار لإصلاح الثغرات المعروفة.
3. تقييد الوصول إلى أدوات الذكاء الاصطناعي لمنع استخدامها في أنشطة ضارة.
4. تدريب الموظفين على أساسيات الأمن السيبراني لتجنب التهديدات الداخلية.

في تقرير تحليلي شامل أصدرته شركة Outpost24 KrakenLabs السويدية، تم الكشف عن هوية هذا المخترق الصاعد، والذي هرب قبل حوالي 10 سنوات من مدينة خاركوف الأوكرانية ليستقر قرب الساحل الروماني، وفقًا للتقرير.

تفاصيل الثغرات الأمنية المكتشفة

تمت الإشارة إلى اسم “SkorikARI with SkorikARI” كمكتشف للثغرات، وهو اسم مستخدم يُعتقد أنه يعود لـ EncryptHub. وقد تم إصلاح كلا الثغرتين من قبل مايكروسوفت ضمن تحديثات Patch Tuesday الأخيرة:

• CVE-2025-24061 (درجة CVSS: 7.8): ثغرة تجاوز حماية Mark-of-the-Web (MotW) في Windows.

• CVE-2025-24071 (درجة CVSS: 6.5): ثغرة انتحال هوية في مستعرض ملفات ويندوز (File Explorer).

من هو EncryptHub؟ مسيرة مزدوجة بين الاختراق والبرمجة

يُعرف هذا المخترق أيضًا بأسماء مستعارة مثل LARVA-208 وWater Gamayun، وقد تم تسليط الضوء عليه لأول مرة منتصف عام 2024 بعد استخدامه موقع WinRAR مزيف لتوزيع برمجيات خبيثة عبر مستودع GitHub باسم “encrypthub”.

وخلال الأسابيع الأخيرة، نُسب إليه استغلال ثغرة يوم صفر جديدة في Microsoft Management Console (CVE-2025-26633)، والمعروفة باسم MSC EvilTwin، لنشر أدوات سرقة بيانات وأبواب خلفية غير موثقة سابقًا، مثل SilentPrism وDarkWisp.

أكثر من 618 اختراقًا خلال 9 أشهر

تُقدّر شركة PRODAFT أن EncryptHub مسؤول عن اختراق أكثر من 618 هدفًا عالي القيمة في صناعات متعددة خلال الأشهر التسعة الماضية.

وقالت ليديا لوبيز، كبيرة محللي استخبارات التهديدات في Outpost24:

“تشير جميع البيانات التي جمعناها إلى أن هذه الأنشطة نُفذت من قبل شخص واحد، لكن لا يمكننا استبعاد وجود متعاونين.”

كما تم اكتشاف مستخدم آخر يمتلك صلاحيات إدارية في قناة Telegram ستخدم فيها تتبع الإحصائيات، مما يشير إلى احتمال وجود مساعدين دون انتماء جماعي واضح.

ضعف أمني شخصي ساهم في كشف الهوية

تمكّنت Outpost24 من تتبع أنشطة EncryptHub الرقمية من خلال “إصابات ذاتية” نتيجة ضعف في ممارسات الأمان العملياتي، مما كشف عن تفاصيل جديدة تخص البنية التحتية وأدوات الهجوم المستخدمة.

وبحسب التقرير، فقد انتقل هذا الشخص إلى منطقة غير محددة قرب رومانيا، وبدأ تعلم علوم الحاسوب ذاتيًا عبر دورات تدريبية عبر الإنترنت، وسعى للحصول على وظائف في مجال البرمجة. إلا أن جميع أنشطته توقفت فجأة مطلع عام 2022، بالتزامن مع اندلاع الحرب الروسية الأوكرانية، وتُشير الأدلة إلى أنه قد سُجن خلال هذه الفترة.

وبعد إطلاق سراحه، عاد للبحث عن عمل، مقدمًا خدمات تطوير الويب والتطبيقات بشكل حر، لكنها على ما يبدو لم تكن كافية ماديًا، ما دفعه – حسب التقرير – إلى التحول إلى الجريمة الإلكترونية في أوائل عام 2024.

بداياته في الجريمة الإلكترونية: برمجية Fickle Stealer

من أولى أدواته في عالم الجرائم الإلكترونية كانت Fickle Stealer، وهي برمجية خبيثة مبنية بلغة Rust ظهرت أول مرة في تقارير Fortinet خلال يونيو 2024، ويتم توزيعها عبر قنوات متعددة.

وفي مقابلة مع الباحث الأمني g0njxa، قال المخترق إن Fickle “توفر نتائج على الأنظمة التي تفشل فيها أدوات مثل StealC وRhadamantys”، وأنها تتجاوز برامج مكافحة الفيروسات في بيئات الشركات.

كما ذكر أن أداة Fickle تُعتبر جزءًا أساسيًا من منتج آخر يُدعى EncryptRAT.

قالت لوبيز:

“استطعنا ربط Fickle Stealer بهوية EncryptHub، وحتى أن بعض النطاقات المستخدمة تتطابق مع البنية التحتية لأعماله المشروعة كعامل حر.”

استخدام ChatGPT لأغراض هجومية

المثير للانتباه أن EncryptHub استخدم أدوات الذكاء الاصطناعي مثل ChatGPT في تطوير برمجياته الخبيثة، بل وحتى في ترجمة الرسائل الإلكترونية أو كتابة محتوى احتيالي.

وأكدت لوبيز:

“رغم ذكائه التقني، فإن ضعف الأمان العملياتي – مثل إعادة استخدام كلمات المرور وخلط الحياة الشخصية بالأنشطة الإجرامية – كان سببًا رئيسيًا في كشف هويته.”

قالت Outpost24 KrakenLabs في تقرير جديد تم مشاركته مع The Hacker News: “تم رصد EncryptHub تستهدف مستخدمي التطبيقات الشهيرة من خلال توزيع نسخ مزيفة منها”. وأضاف التقرير: “بالإضافة إلى ذلك، استخدمت المجموعة خدمات توزيع Pay-Per-Install (PPI) التابعة لطرف ثالث”.

وصفت الشركة الأمنية المجموعة بأنها مجموعة قرصنة ترتكب أخطاء في أمان العمليات وتستغل الثغرات الأمنية الشهيرة في حملاتها الهجومية.

تُعرف EncryptHub أيضًا باسم LARVA-208 وفقًا لشركة PRODAFT السويسرية للأمن السيبراني، وتم تقييمها بأنها أصبحت نشطة نحو نهاية يونيو 2024، وتعتمد على مجموعة متنوعة من الأساليب من التصيد عبر الرسائل النصية (smishing) إلى التصيد الصوتي (vishing) لخداع الأهداف المحتملة لتثبيت برامج المراقبة والإدارة عن بُعد (RMM).

التكتيكات المتقدمة في الهجوم

أفادت الشركة بأن مجموعة التصيد بالرمح مرتبطة بمجموعات الفدية RansomHub وBlacksuit، وتستخدم تكتيكات الهندسة الاجتماعية المتقدمة لاستهداف الأهداف ذات القيمة العالية عبر صناعات متعددة.

قالت PRODAFT: “يقوم المهاجم عادة بإنشاء موقع تصيد يستهدف المؤسسة للحصول على بيانات اعتماد VPN للضحية”. “ثم يتم الاتصال بالضحية وطلب إدخال تفاصيله في موقع التصيد بدعوى وجود مشاكل فنية، متنكرًا كفريق تقني أو مكتب المساعدة. وإذا لم يكن الهجوم عبارة عن اتصال هاتفي بل رسالة نصية مباشرة، يتم استخدام رابط مزيف لخدمة Microsoft Teams لإقناع الضحية”.

استضافة مواقع التصيد

تُستضاف مواقع التصيد على مزودي الاستضافة المضادة مثل Yalishand. بمجرد الحصول على الوصول، تقوم EncryptHub بتشغيل سكربتات PowerShell تؤدي إلى نشر برمجيات السرقة مثل Fickle وStealC وRhadamanthys. الغرض النهائي من الهجمات في معظم الحالات هو نشر برمجيات الفدية والمطالبة بفدية.

التطبيقات المزيفة كوسيلة للوصول الأولي

تشمل الطرق الأخرى التي يستخدمها المهاجمون استخدام تطبيقات مزيفة تتنكر كبرمجيات شرعية للوصول الأولي. تتضمن هذه التطبيقات نسخ مزيفة من QQ Talk وQQ Installer وWeChat وDingTalk وVooV Meeting وGoogle Meet وMicrosoft Visual Studio 2022 وPalo Alto Global Protect.

بمجرد تثبيت هذه التطبيقات المفخخة، تبدأ عملية متعددة المراحل تعمل كوسيلة لنقل الحمولات التالية مثل Kematian Stealer لتسهيل سرقة الكوكيز.

خدمات PPI لتوزيع البرمجيات الخبيثة

منذ 2 يناير 2025 على الأقل، كان مكونًا حيويًا في سلسلة توزيع EncryptHub هو استخدام خدمة PPI التابعة لطرف ثالث تُسمى LabInstalls، والتي تسهل تثبيت البرمجيات الخبيثة بكميات كبيرة للعملاء المدفوعين بدءًا من 10 دولارات (100 تحميل) إلى 450 دولارًا (10,000 تحميل).

قالت Outpost24: “أكدت EncryptHub بالفعل كونها عميلًا لهذه الخدمة بترك ملاحظات إيجابية في خيط بيع LabInstalls على منتدى XSS الروسي تحت الأرض، بما في ذلك لقطة شاشة تثبت استخدام الخدمة”.

تطورات جديدة في أدوات الهجوم

تُبرز هذه التغييرات التعديلات النشطة في سلسلة الهجمات الخاصة بـ EncryptHub، حيث تعمل المجموعة على تطوير مكونات جديدة مثل EncryptRAT، وهي لوحة تحكم لإدارة العدوى النشطة وإصدار الأوامر عن بُعد والوصول إلى البيانات المسروقة. هناك بعض الأدلة التي تشير إلى أن المهاجم قد يسعى لتسويق الأداة.

قالت الشركة: “تواصل EncryptHub تطوير تكتيكاتها، مما يبرز الحاجة الملحة إلى مراقبة مستمرة واتخاذ تدابير دفاعية استباقية”. “يجب على المؤسسات أن تظل يقظة وتتبع استراتيجيات أمان متعددة الطبقات لتقليل المخاطر التي تشكلها مثل هذه الجهات المهاجمة”.