حملة تصيد 'Photo ZIP' تستهدف فنادق أوروبا وآسيا بزرع Node.js

مقدمة تحليلية

في تحذير جديد ومثير للقلق صدر في يونيو 2026، كشفت مايكروسوفت عن تفاصيل حملة تصيد احتيالي نشطة ومعقدة تستهدف قطاع الضيافة، وتحديداً الفنادق والمؤسسات المشابهة في جميع أنحاء أوروبا وآسيا. تستخدم هذه الحملة، التي بدأت منذ أبريل 2026، أسلوباً ذكياً لإسقاط برمجية خبيثة تعتمد على بيئة Node.js، تُعرف باسم "TonRAT"، وذلك عبر ملفات ZIP تحمل طابع صور فوتوغرافية زائفة. يكمن الخطر الأكبر في أن المهاجمين يستغلون أنظمة إشعارات البريد الإلكتروني المشروعة لخدمات مثل Calendly وخدمة إعادة التوجيه من Google لتجاوز دفاعات البريد الإلكتروني التقليدية، في تقنية أطلقت عليها مايكروسوفت اسم "authentication laundering".

ما يميز هذه الحملة هو قدرتها على التخفي، حيث تمر رسائل التصيد عبر فحوصات SPF و DKIM و DMARC بفضل استخدام البنية التحتية الموثوقة لـ Calendly. هذا التكتيك يمنح المهاجمين وصولاً أولياً للأنظمة المستهدفة، وتحديداً أجهزة الاستقبال والمكاتب الأمامية في الفنادق. ورغم الكشف عن تفاصيل العملية الفنية، إلا أن الهدف النهائي للمهاجمين من وراء هذا الوصول المستمر لا يزال غير واضح، مما يثير مخاوف كبيرة بشأن نوعية الهجمات اللاحقة المحتملة، سواء كانت سرقة بيانات حساسة، أو عمليات ابتزاز، أو استخدام الشبكات المخترقة لنشر هجمات أخرى.

التحليل التقني

تعتمد حملة التصيد هذه على هندسة اجتماعية متقنة تستغل طبيعة عمل الفنادق. تصل رسائل التصيد عبر بريد إلكتروني يحمل اسم عرض "Booking Manager (via Calendly)" وتتضمن إشارات إلى شكاوى نزلاء مزعومة، أو تفشي حشرات الفراش، أو استفسارات عن الغرف، أو عمليات تفتيش صحية، أو مراجعات إقامة. جاءت هذه الرسائل بلغات متعددة شملت اليابانية والدنماركية والهولندية، وكانت اليابانية الأكثر شيوعاً. لم تتضمن سطور الموضوع اسم المستلم أو العقار المحدد، مما يشير إلى أن الحملة تعتمد على إرسال كميات كبيرة من الرسائل لقائمة عناوين بدلاً من التصيد الموجه.

يكمن الجانب الأكثر إثارة للاهتمام في طريقة التسليم، حيث يقوم المهاجمون بتوجيه الرسائل عبر نظام إشعارات البريد الإلكتروني الخاص بـ Calendly وخدمة إعادة التوجيه لعنوان URL من Google. تسمح هذه الخدعة، التي وصفتها مايكروسوفت بـ "authentication laundering"، للبريد الإلكتروني الذي يتم إرساله مباشرةً عبر Calendly باجتياز فحوصات SPF و DKIM و DMARC بنجاح، لأنه بالفعل مرسل من بنية تحتية مصرح بها. ومع ذلك، فإن هذه الفحوصات تؤكد فقط أن المرسل مخول بالإرسال، ولا تتطرق إلى محتوى الرسالة أو غرضها.

تتبع الضحية سلسلة متعددة الخطوات تبدأ من رابط Calendly، ثم عبر share.google وخدمة إعادة توجيه Google إلى نطاق `Cloudflare-fronted .cfd` تم تسجيله حديثاً. يتميز هذا النطاق بوجود تحدي Turnstile الذي يعمل كآلية لمكافحة التحليل. عند النقر على الرابط وتجاوز التحدي، يتم تنزيل ملف ZIP يحمل اسماً مثل `photo-<numbers>.zip`. داخل هذا الملف، يوجد اختصار يتنكر كملف صورة، حيث كان يحمل اسم `IMG-<numbers>.png.lnk` في الموجة الأولى من الهجوم، و`PHOTO-<numbers>.png.lnk` في الموجة الثانية.

عند فتح ملف الاختصار (.lnk)، يتم تشغيل سكريبت PowerShell. يستخدم هذا السكريبت حسابات BigInt لفك تشفير عنوان URL لتنزيل مخفي، ثم يقوم بسحب ملف `.ps1` إلى مجلد `%TEMP%`. بعد ذلك، يقوم بإسقاط بيئة تشغيل Node.js مشروعة، الإصدار `v24.13.0`، والتي تم تنزيلها مباشرةً من موقع `nodejs.org`، في مساحة المستخدم. يتم بعد ذلك تشغيل برمجية JavaScript الخبيثة، والتي تُعرف باسم TonRAT. والجدير بالذكر أنه لا يلزم تثبيت Node.js على مستوى النظام بالكامل، مما يجعل اكتشافها أكثر صعوبة.

تتسم برمجية TonRAT بقدرات متقدمة، حيث تقوم بحل نطاقات خوادم القيادة والتحكم (C2) الخاصة بها عبر واجهة برمجة تطبيقات TON blockchain. بعد ذلك، تفتح قناة WebSocket مشفرة، وفقاً لما ذكره SOC Prime. تساهم هذه الطريقة في جلب النطاقات ديناميكياً في جعل قوائم الحظر الثابتة أقل فعالية. بعد اختراق النظام، تقوم البرمجية الخبيثة بإرسال إشارات إلى عناوين IP ثابتة عبر منافذ غير قياسية، شملت 8443، 8445، 8453، 5555، و 56001 إلى 56003. كما أظهرت بعض الأنظمة المستهدفة استخدام أتمتة متصفح بدون واجهة رسومية (`--headless --no-sandbox`)، وفحص تحديد الموقع الجغرافي عبر `ip-api.com`، وحتى إيقاف تشغيل قسري عبر الأمر `cmd /c shutdown -s -t 0`. لم تبلغ مايكروسوفت عن سرقة بيانات مؤكدة، أو برمجيات فدية، أو أسماء ضحايا محددة.

تتطلب عملية المعالجة الكاملة لهذه الإصابة استهداف مساري الثبات (persistence) الرئيسيين: إدخال RunOnce الذي يشير إلى `ProgramData` ومفتاح Node.js Run، بالإضافة إلى ملفات بيئة التشغيل (.js) وملفات Node.js تحت `AppData\Local\Nodejs`. ترك أي من هذه المسارات نشطاً يعني بقاء الإصابة قائمة. أنظمة الاستقبال، والحجوزات، والمكاتب الأمامية هي الأماكن الأولى التي يجب فحصها بدقة.

السياق وتأثير السوق

ليست حملة "Photo ZIP" جديدة تماماً. فقد قام كل من SOC Prime و ITOCHU بتوثيق نفس هجوم التصيد الذي يستهدف الفنادق وسلسلة التنفيذ من LNK إلى PowerShell إلى Node.js قبل حوالي أسبوعين من إعلان مايكروسوفت، وتتطابق نتائج مايكروسوفت مع هذه التقارير الأولية. هذا يشير إلى أن الجهات الفاعلة وراء هذه الحملة كانت نشطة لفترة، مما يزيد من حجم التهديد.

يُعد التصيد الاحتيالي الذي يستهدف موظفي الفنادق باستخدام سمات الحجوزات نمطاً متكرراً في الهجمات السيبرانية. على سبيل المثال، وثقت حملات ClickFix سابقاً التي أسقطت برمجية PureRAT لسرقة بيانات تسجيل الدخول الخاصة بـ Booking.com. هذا التكرار يسلط الضوء على أن قطاع الضيافة لا يزال هدفاً جذاباً للمهاجمين، ربما بسبب طبيعة عملياته التي تتطلب تفاعلاً مستمراً مع العملاء الخارجيين عبر البريد الإلكتروني، والحاجة إلى معالجة كميات كبيرة من البيانات الشخصية والحساسة.

التأثير السوقي لهذه الحملة يمكن أن يكون كبيراً، حتى لو لم يتم تأكيد سرقة البيانات بعد. مجرد الاختراق والوصول المستمر إلى أنظمة حساسة مثل تلك الموجودة في المكاتب الأمامية يهدد سمعة الفنادق وثقة العملاء. كما أنه يتطلب استثمارات كبيرة في استجابات الحوادث والتدابير الأمنية الإضافية. عدم وضوح الهدف النهائي يزيد من مستوى عدم اليقين والخطر، مما يجبر المؤسسات على افتراض أسوأ السيناريوهات والتحرك بناءً عليها.

رؤية Glitch4Techs

تبرز حملة "Photo ZIP" كنموذج للهجمات السيبرانية المتطورة التي تستغل الثغرات في الثقة وسلسلة التوريد. إن استخدام تقنية "authentication laundering" عبر خدمات مشروعة مثل Calendly و Google يعتبر خطوة جريئة وفعالة لتجاوز معظم حلول أمان البريد الإلكتروني التقليدية التي تعتمد على فحوصات المصادقة الأساسية. هذا يضع عبئاً أكبر على المستخدمين النهائيين لتحديد رسائل التصيد، حتى لو بدت وكأنها قادمة من مصادر موثوقة.

إن الاعتماد على TON blockchain لحل نطاقات C2 يعكس توجهاً متزايداً نحو استخدام البنية التحتية اللامركزية لتجنب الاكتشاف والحظر. هذه التقنية تجعل من الصعب جداً على فرق الأمن تحديد وإسقاط خوادم C2 الخاصة بالمهاجمين، مما يمنح برمجية TonRAT مرونة واستمرارية عالية. كما أن تثبيت بيئة Node.js شرعية واستخدامها لتشغيل الشفرة الخبيثة يمثل تحدياً إضافياً، حيث يصعب التمييز بين النشاط المشروع والخبيث على الأنظمة المخترقة.

من منظور Glitch4Techs، فإن الغموض حول الهدف النهائي لهذه الحملة هو الجانب الأكثر إثارة للقلق. يشير الوصول الدائم والمشفر إلى أن المهاجمين يهدفون إلى تحقيق مكاسب أكبر من مجرد سرقة بيانات تسجيل دخول بسيطة. يمكن أن يكون هذا الاختراق بمثابة "جسر" لشن هجمات لاحقة أكثر تدميراً، مثل نشر برامج الفدية، أو سرقة البيانات المالية والشخصية للنزلاء على نطاق واسع، أو حتى استغلال شبكة الفندق كنقطة انطلاق لهجمات أخرى. يتطلب هذا الوضع من قطاع الضيافة إعادة تقييم شاملة لاستراتيجيات الأمن السيبراني لديها، مع التركيز على تدريب الموظفين على اكتشاف محاولات الهندسة الاجتماعية، وتطبيق مبادئ "الحد الأدنى من الامتيازات"، وتعزيز حلول الكشف والاستجابة عند نقاط النهاية (EDR).

تعتبر عملية المعالجة الحاسمة هنا. إن التحذير من ضرورة إزالة كلا مساري الثبات (RunOnce و Node.js Run key) يسلط الضوء على مدى تعقيد التطهير بعد الاختراق. يجب على مسؤولي تكنولوجيا المعلومات في الفنادق تطبيق بروتوكولات صارمة للاستجابة للحوادث، بما في ذلك فحص شامل للأنظمة، وإعادة تهيئة الأجهزة المصابة إن أمكن، وتنفيذ مراقبة مستمرة للكشف عن أي نشاط غير عادي. على المدى الطويل، يجب على الصناعة أن تستثمر في حلول أمنية أكثر تكاملاً يمكنها الكشف عن السلوكيات الشاذة، بدلاً من الاعتماد فقط على تواقيع التهديد أو تقنيات المصادقة السطحية التي يمكن تجاوزها بذكاء.