تخطى إلى المحتوى الرئيسي
شارك

عملية دولية ضخمة تطيح بشبكة مالوير Amadey و StealC وتستعيد 27 مليون بيانات مسروقة

فريق جلتشمنذ ساعتين0 مشاهدة6 دقائق
شارك
عملية دولية ضخمة تطيح بشبكة مالوير Amadey و StealC وتستعيد 27 مليون بيانات مسروقة

عملية أمنية دولية ضخمة أطاحت بشبكة مالوير Amadey و StealC، واستعادت 27 مليون بيانات مسروقة. هذا يؤكد أهمية التعاون العالمي في مكافحة الجريمة السيبرانية.

مقدمة تحليلية

في ضربة موجعة لعمليات الجريمة السيبرانية العالمية، أعلنت السلطات الدولية عن تفكيك شبكة البنية التحتية الخبيثة التي كانت تشغل مالويري التجسس Amadey و StealC. أسفرت العملية، التي امتدت لأسبوعين وشملت تعاوناً مكثفاً بين أجهزة إنفاذ القانون والقطاع الخاص – بما في ذلك شركات رائدة مثل Bitdefender، Bitsight، ESET، و Microsoft – عن استعادة 27 مليون بيانات اعتماد مسروقة وتجميد أصول مشفرة بقيمة تزيد عن 47 مليون دولار كانت مرتبطة بأنشطة إجرامية.

تأتي هذه العملية في سياق جهود أوسع ضمن «عملية النهاية» (Operation Endgame)، والتي استهدفت في الأيام الماضية البنية التحتية لـ SocGholish وطهرت ما يقرب من 15,000 موقع WordPress مخترق. الهدف المشترك لهذه الجهود هو تعطيل «خطوط التجميع» التي يستخدمها مجرمو الإنترنت لإطلاق هجمات برامج الفدية والاحتيال المالي والهجمات على البنية التحتية الحيوية، مما يؤكد على أهمية التكاتف الدولي في مكافحة الجرائم السيبرانية واسعة النطاق.

لم تكتفِ العملية بتعطيل الخدمة فحسب، بل قامت بتفكيك 326 خادمًا و 142 نطاقًا كانت تُستخدم لتوزيع البرمجيات الخبيثة، مما يشل قدرة المجرمين على نشر Amadey و StealC. يؤكد خبراء الأمن أن هذا التعاون يرسل رسالة واضحة للمسؤولين عن منظومات البرامج الضارة: لا يهم مدى تعقيد الأدوات أو مدى تشتت الشبكة، فإن العمل الدولي المنسق سيصل إليهم في نهاية المطاف.

التحليل التقني

يعمل مالوير Amadey و StealC ضمن نموذج البرمجيات الخبيثة كخدمة (MaaS)، مما يسمح للعملاء بنشر حمولات إضافية أو سرقة معلومات حساسة من الأجهزة المخترقة. يعمل Amadey، المصمم بلغة C++، كأداة تحميل (loader) لإدخال برامج ضارة للمرحلة التالية، ويتم توزيعه بشكل أساسي عبر مواقع WordPress المخترقة وحملات التصيد الاحتيالي، بالإضافة إلى أدوات تحميل أخرى مثل Emmenhtal و SmokeLoader. بدأ Amadey نشاطه في أكتوبر 2018، وبنسخته الأخيرة 5.87، كان سعره 600 دولار لترخيص واحد مع 50 دولارًا إضافية لكل إعادة بناء. تشمل الأوامر المدعومة:

  • Fingerprint the machine (بصمة الجهاز)
  • Downloads files, DLLs, MSI, or PowerShell scripts (تنزيل ملفات، DLLs، MSI، أو PowerShell scripts)
  • Run commands using "cmd.exe" (تنفيذ الأوامر باستخدام "cmd.exe")
  • Take screenshots (التقاط لقطات الشاشة)
  • Spawn a SOCKS proxy (تشغيل وكيل SOCKS)
  • Open a VNC or reverse proxy session (فتح جلسة VNC أو وكيل عكسي)
  • Capture clipboard contents and credentials (التقاط محتويات الحافظة وبيانات الاعتماد)
  • Enable RDP (تمكين RDP)

شهدت خوادم القيادة والتحكم (C2) لـ Amadey ارتفاعًا في النشاط من 5 إلى 30 خادمًا يوميًا في عام 2023، مقارنة بـ 2 إلى 18 في 2022، مما يشير إلى انتشار واسع. كما ارتفع عدد عينات البرامج الضارة التي وزعها Amadey بشكل كبير من 66 في 2019 إلى 11,635 في 2025.

أما StealC، الذي ظهر في يناير 2023 وبيعه بسعر 300 دولار شهريًا (أو 1000 دولار لمدة ستة أشهر)، فقد اعتمد على عدة نواقل وصول أولية بما في ذلك أدوات التحميل الأخرى (مثل Amadey) و ClickFix. تم تصميم StealC، وهو أيضًا مكتوب بلغة C++، لاستخراج معلومات حساسة مثل لقطات الشاشة وبيانات الاعتماد وملفات تعريف الارتباط للجلسة وإدخالات الملء التلقائي وبيانات بطاقة الائتمان وسجل التصفح وبيانات الإضافات. يستهدف متصفحات Chromium وتطبيقات سطح المكتب مثل Discord و FileZilla و Foxmail و Microsoft Outlook و Steam و Telegram، بالإضافة إلى ملفات مطابقة لأنماط تسمية معينة. تم رصد أعلى تركيز للإصابات في الولايات المتحدة وبولندا وإيطاليا.

يتميز كل من Amadey و StealC بوجود فحص جغرافي، حيث ينهي StealC عمله إذا كان النظام في روسيا أو أوكرانيا أو بيلاروسيا أو كازاخستان أو أوزبكستان، ويقوم Amadey بتجاوز وظائف معينة (مثل سرقة بيانات الاعتماد) في نفس المناطق.

السياق وتأثير السوق

تمثل هذه العملية امتدادًا حاسمًا لـ «عملية النهاية» (Operation Endgame) الأوسع، والتي تسعى إلى تعطيل البنية التحتية الأساسية للجريمة السيبرانية. أظهرت كل من Amadey و StealC قدرة كبيرة على الانتشار، حيث ربطتهما Microsoft بأكثر من 140,000 جهاز مصاب عالمياً في الأسبوعين الأولين من مايو 2026 وحده. يعتبر نموذج البرمجيات الخبيثة كخدمة (MaaS) عاملًا رئيسيًا في هذا الانتشار، حيث يوفر للمجرمين أدوات جاهزة بتكلفة منخفضة لدخول عالم الجريمة السيبرانية.

تميزت هذه العملية بمستوى غير مسبوق من التعاون بين القطاعين العام والخاص. شركات مثل Bitdefender، ESET، Microsoft، Bitsight، IBM X-Force، وProofpoint قدمت خبرات تقنية بالغة الأهمية في تحديد وتعطيل البنية التحتية الخبيثة. على سبيل المثال، كشفت CyberArk في يناير 2026 عن ثغرة أمنية من نوع XSS في لوحة تحكم StealC المستندة إلى الويب، مما سمح بالحصول على معلومات حول عملاء MaaS. كما اكتشف باحثو IBM X-Force و Proofpoint ثغرات أمنية متعددة، بما في ذلك ثغرة directory traversal التي مكنت من تحميل web shell إلى خادم C2 الخاص بـ StealC، وتم إصلاحها في فبراير 2026.

يكمن الاختلاف بين نموذجي Amadey و StealC في طريقة عملهما مع المنتسبين (affiliates). بينما اعتمد Amadey نموذج الدفع مقابل إعادة البناء (pay-per-rebuild)، حيث يدفع المنتسبون رسومًا إضافية لكل إصدار جديد، قدم StealC نموذج اشتراك يوفر إنشاءات غير محدودة، مما قلل من التكلفة التشغيلية للمنتسبين وسهل عليهم إنشاء عينات جديدة حسب الحاجة. تُظهر هذه الفروق في النماذج التجارية التطور المستمر لسوق الجريمة السيبرانية وكيف يسعى الفاعلون إلى تحسين خدماتهم الإجرامية.

في المجمل، قامت Microsoft بتحديد أكثر من 200 نطاق وعنوان IP خبيث لـ Amadey و StealC C2، وتم إغلاقها جميعًا باستخدام أوامر قضائية ومصادرة النطاقات وإشعارات المزودين. هذه الخطوات تعطل بشكل فعال قدرة هذه البرامج الضارة على الاتصال بخوادم القيادة والتحكم، مما يحد من فعاليتها.

رؤية Glitch4Techs

تؤكد عملية تفكيك Amadey و StealC، جنبًا إلى جنب مع «عملية النهاية» الأوسع، حقيقة أن مكافحة الجريمة السيبرانية الحديثة تتطلب نهجًا متعدد الأوجه يتجاوز الحدود الجغرافية والقطاعية. إن اعتماد مجرمي الإنترنت على نموذج البرمجيات كخدمة (MaaS) يجعل عملياتهم أكثر انتشارًا ومرونة، مما يفرض تحديات كبيرة على وكالات إنفاذ القانون. هذه البرامج الضارة ليست مجرد أدوات؛ إنها أجزاء من منظومات متكاملة تهدف إلى تحقيق أقصى قدر من الأرباح من خلال سرقة البيانات الحساسة أو نشر برامج الفدية.

تُظهر الثغرات الأمنية المكتشفة في لوحات التحكم الخاصة بـ StealC نقطة ضعف حرجة في سلاسل توريد الجريمة السيبرانية. على الرغم من أن المهاجمين يستغلون نقاط الضعف في الأنظمة المستهدفة، إلا أنهم ليسوا محصنين ضد الأخطاء الأمنية في بنيتهم التحتية الخاصة. إن استغلال هذه الثغرات، كما فعل CyberArk و Proofpoint، يوفر رؤى قيمة حول طريقة عمل هذه الشبكات ويساهم في جهود التعطيل.

ومع ذلك، لا تزال المعركة بعيدة عن الانتهاء. فمجرد تفكيك البنية التحتية لعدد قليل من سلالات البرامج الضارة لا يضمن القضاء التام على التهديد، حيث يتكيف الفاعلون السيئون بسرعة ويطورون أدوات جديدة أو ينتقلون إلى بنى تحتية بديلة. تظل الحاجة ماسة لتعزيز الوعي الأمني لدى المستخدمين النهائيين، وتحسين الدفاعات السيبرانية على مستوى المؤسسات، ومواصلة الاستثمار في التعاون الدولي وتبادل المعلومات الاستخباراتية. إن قدرة هذه البرامج الضارة على إجراء فحوصات جغرافية لتجنب مناطق معينة تثير تساؤلات حول الدوافع الجيوسياسية المحتملة لبعض الفاعلين، وتضيف طبقة أخرى من التعقيد إلى تحليل التهديدات.

تتوقع Glitch4Techs أن تستمر الجماعات الإجرامية في استغلال نقاط الضعف في البرامج والأنظمة الشائعة، خاصة تلك التي تفتقر إلى التحديثات الأمنية المنتظمة. كما سنرى على الأرجح تطورًا في تقنيات التخفي والتشفير لزيادة صعوبة اكتشاف وتعطيل البنية التحتية الخبيثة، مما يتطلب من جهات الدفاع تطوير قدرات تحليلية متقدمة ومبتكرة للبقاء خطوة واحدة أمام هذه التهديدات المتطورة.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.