PCPJack يخترق 230 خادماً سحابياً لإنشاء شبكة بريد عشوائي خفية

مقدمة تحليلية

كشف باحثو الأمن لدى شركة Hunt.io عن عملية هجومية معقدة نفذتها مجموعة التهديد المتقدمة المعروفة باسم PCPJack، حيث نجحت في اختراق والسيطرة على ما لا يقل عن 230 خادماً سحابياً تابعاً لكبرى الشركات المزودة للخدمات السحابية مثل Amazon Web Services (AWS)، وGoogle Cloud، وMicrosoft Azure. تم تحويل هذه الخوادم المخترقة، الموزعة جغرافياً في الولايات المتحدة وأوروبا وآسيا، إلى شبكة بروكسي مغلقة ومخصصة لتمرير رسائل البريد الإلكتروني عبر بروتوكول SMTP بشكل خفي بالكامل. الخطورة الكامنة في هذا الهجوم تكمن في قدرة المهاجمين على استغلال السمعة الرقمية العالية وعناوين IP الموثوقة الخاصة بالخوادم السحابية التابعة لشركات التقنية الكبرى لتمرير رسائل البريد الإلكتروني دون أن يتم حظرها بواسطة مرشحات البريد العشوائي (Spam Filters) أو أنظمة الحماية المتقدمة. تم اكتشاف البنية التحتية الهجومية بالكامل بينما كانت لا تزال تعمل بنشاط، مما أتاح للباحثين فرصة نادرة لتحليل تفاصيل الهجوم وفهم الآليات البرمجية المستخدمة في إدارة وتشغيل هذه الشبكة الواسعة والموزعة. أوضحت التحليلات العميقة أن المهاجمين ارتكبوا خطأً فادحاً في الجانب الأمني الخاص بعملياتهم (OpSec)، حيث تركوا دليلين مفتوحين (Open Directories) دون أي نظام مصادقة على خادم التحكم والسيطرة (C2) الذي يحمل عنوان IP '213.136.80[.]73'. هذا الخطأ الاستراتيجي مكّن الباحثين من الوصول وتنزيل الشفرة المصدرية الكاملة، والملفات الثنائية المترجمة لكل بنية معالج، وسجلات النشر والتشغيل، بالإضافة إلى أدوات فحص الإنترنت وتكوين Sliver C2 النشط، وهي الأدوات التي منحتنا تفصيلاً دقيقاً لكيفية تحويل الخوادم العادية إلى أدوات هجومية صامتة.

التحليل التقني

تعتمد البنية البرمجية لهجوم PCPJack على مزيج هجين ومتطور من البرمجيات المفتوحة المصدر المخصصة لاختبار الاختراق والبرمجيات الخبيثة المطورة خصيصاً لهذه الحملة. المكون الأساسي لعملية السيطرة هو إطار العمل Sliver C2 مدمجاً مع برمجية النفق والبروكسي Chisel المترجمة لمعظم البنيات التقنية للمعالجات. لتنفيذ عملية الاختراق والتشغيل المؤتمت، يتبع المهاجمون الخطوات التقنية التالية:

• إسقاط وتثبيت البرمجيات الخبيثة: بمجرد نجاح عملية اختراق الخادم السحابي العامل بنظام التشغيل Linux، يتم إسقاط ملف ثنائي مخصص كملف مخفي يبدأ بنقطة في المسار '/var/tmp/.xs' لضمان بقائه خفياً واستمراريته عبر خدمات نظام التشغيل systemd أو مهام cron المجدولة للعمل تلقائياً عند إعادة التشغيل.
• توليد المنافذ الديناميكية الخالية من السجلات: يتم ربط كل عميل نشط (Sliver Beacon) بمنفذ SOCKS5 مخصص ويتم اشتقاقه ديناميكياً بناءً على ترميز MD5 للمعرّف الفريد الخاص بالعميل (Sliver UUID) ليعاد توجيهه إلى النطاق 10000-14999. تضمن هذه الطريقة المبتكرة حصول العميل نفسه دائماً على نفس المنفذ عبر جلسات العمل المختلفة دون الحاجة إلى قاعدة بيانات مركزية لتسجيل وتخصيص المنافذ.
• بوابة فحص الاتصال الصادر SMTP: تحتوي أدوات النشر على سكربت فحص جودة الاتصال ببروتوكول SMTP من خلال اختبار القدرة على إجراء اتصال صادر مع الخادم المعتمد 'smtp.gmail[.]com:587'، ويتم استبعاد الخوادم غير القادرة على تمرير البريد فوراً وحذفها من القائمة دون التسبب في أية أخطاء تشغيلية قد تثير انتباه أنظمة المراقبة.
• مراقبة الأنفاق والتحقق من صحتها دورياً: يعمل سكربت مكتوب بلغة بايثون يحمل الاسم 'chisel_verifier.py' في الخلفية كخدمة مستمرة على خادم التحكم. يقوم السكربت بفحص منافذ Chisel النشطة كل 60 ثانية باستخدام أداة 'ss -tlnp'، مع اختبار جودة SMTP لإزالة أي نفق معطل أو مفقود من بركة الخوادم النشطة بشكل فوري وتلقائي.
• تغذية خادم الاستقبال بالتفاصيل الجغرافية: يتم إثراء قائمة خوادم البروكسي الفعالة ببيانات جغرافية ومعرف شبكة الاتصال (ASN) وعنوان IP الخارجي باستخدام خدمات عامة شهيرة مثل api.ipify[.]org و ip-api[.]com، ومن ثم مزامنتها عبر بروتوكول النقل الآمن SCP كل خمس دقائق إلى خادم استقبال downstream يحمل عنوان '38.242.204[.]245'.

في الإصدارات اللاحقة من أدوات النشر، لاحظ المحللون إزالة بوابات التحقق ومرشحات الدفعات بهدف تسريع وتيرة العمليات الهجومية وبناء الشبكة بأسرع وقت ممكن، مما يشير إلى رغبة الفاعل التهديدي في الاستغلال السريع للبنية التحتية قبل اكتشافها وإغلاقها من قِبل موفري الخدمات السحابية.

السياق وتأثير السوق

مجموعة PCPJack ليست فاعلاً تهديدياً جديداً في الفضاء السيبراني؛ فقد تم رصدها وتوثيق نشاطها لأول مرة من قِبل شركة SentinelOne في أبريل 2026 كإطار عمل متطور يستهدف سرقة بيانات الاعتماد والوصول إلى الخدمات السحابية المختلفة. المثير للاهتمام والمقلق في آن واحد هو رصد قيام برمجيات PCPJack بإنهاء وإزالة العمليات والآثار البرمجية المرتبطة بمجموعة هجمات 'TeamPCP' الشهيرة بشن هجمات سلاسل التوريد البرمجية، مما يعكس حالة صراع ومنافسة شرسة على البنية التحتية السحابية المخترقة بين مجموعات التهديد السيبراني المختلفة للسيطرة على أكبر عدد ممكن من الأصول الرقمية. السوق السحابية تعاني بالأساس من تحديات عميقة تتعلق بتأمين الهويات الرقمية والصلاحيات المفرطة الممنوحة لبيئات التطوير والاختبار. استغلال خوادم AWS و Azure و GCP لتحويلها إلى شبكات ترحيل البريد الإلكتروني الخفية يمثل ضربة قاصمة لمصداقية عناوين IP الخاصة بهذه الخدمات. في حال تم إدراج عناوين IP التابعة لشركات الاستضافة الكبرى في القوائم السوداء لمرسلي البريد العشوائي، فإن ملايين الشركات الشرعية والمؤسسات التي تعتمد على تلك الخدمات السحابية لممارسة أعمالها اليومية ستواجه صعوبات بالغة في تسليم رسائل البريد الإلكتروني لعملائها، مما يؤدي إلى خسائر تشغيلية واقتصادية هائلة على مستوى العالم.

رؤية Glitch4Techs

من وجهة نظر تحليلية ونقدية في Glitch4Techs، نرى أن هذا الهجوم يبرز مجدداً الفجوة الأمنية العميقة بين سرعة نشر الخدمات السحابية وقدرة فرق الدفاع والأمن الرقمي على تتبع وحظر الاتصالات الصادرة (Outbound Connections) غير المصرح بها. استخدام المهاجمين لتقنيات معقدة وأتمتة متكاملة مثل ربط المنافذ القائم على خوارزميات الهاش والتحقق المستمر من حالة الأنفاق يعكس قدرة هندسية عالية وتفكيراً منظماً يهدف لبناء بنية تحتية مستقرة وقابلة للتوسع التجاري كخدمة لتأجير البروكسيات الخبيثة. ومع ذلك، فإن الفشل الذريع للمجموعة في تأمين خادم التحكم والسيطرة الخاص بها وترك ملفات حساسة للغاية مثل الشفرات المصدرية وأدوات التحقق مكشوفة بالكامل يعيد التذكير بحقيقة هامة: المهاجمون، مهما بلغت درجة تعقيد أدواتهم الهجومية، يظلون عرضة للأخطاء البشرية القاتلة وقصور التخطيط الأمني. نتوقع في Glitch4Techs أن تشهد الفترة المقبلة زيادة كبيرة في استخدام شبكات البروكسي القائمة على خوادم سحابية شرعية لتجاوز أنظمة الكشف المعتمدة على الذكاء الاصطناعي، مما يجعل مراقبة الاتصالات الصادرة، ووضع قيود صارمة على حركة مرور البيانات عبر المنفذ 587 والمنفذ 25، ضرورة قصوى وأولوية أولى لمهندسي الشبكات السحابية لتأمين البنى التحتية للمؤسسات.