فضيحة WP-SHELLSTORM: خادم مكشوف يكشف اختراق آلاف مواقع ووردبريس

خادم قراصنة مكشوف كشف عملية WP-SHELLSTORM، مفصّلاً كيفية اختراق آلاف مواقع ووردبريس. الحادث يؤكد المخاطر المستمرة من الأخطاء الأمنية البسيطة.
مقدمة تحليلية
بعد 22 يوماً من تركه مفتوحاً على الإنترنت، كشف خادم قراصنة يقع على العنوان 137.175.93[.]126 عن تفاصيل عملية قرصنة واسعة النطاق تُعرف الآن باسم WP-SHELLSTORM. استعرض باحثون من SOCRadar وCtrl-Alt-Intel محتويات الخادم، التي بلغت حوالي 800 ميجابايت موزعة على 434 ملفاً، وتضمنت أدوات الاختراق وسجلات النشاط وقوائم أهداف تحتوي على أكثر من 1.4 مليون موقع إلكتروني. على الرغم من العدد الكبير للأهداف، فإن المواقع المخترقة فعلياً كانت أقل بكثير، لكن الكشف قدم رؤى غير مسبوقة حول كيفية إدارة عمليات الاختراق الجماعية من الداخل.
التحليل التقني
WP-SHELLSTORM هي عملية تُعرف باسم وساطة الوصول عبر قواقع الويب (webshell access brokerage)، حيث تقوم مجموعة باختراق المواقع على نطاق واسع، وزرع أبواب خلفية مخفية (قواقع ويب) في كل منها، ثم بيع هذا الوصول. ركز النشاط الأقوى للعملية على مواقع ووردبريس التي تشغل إضافات قديمة. الثغرات الأكثر استغلالاً كانت في إضافة Breeze caching plugin ومحرر Joomla JCE. اكتشف فريق استخبارات التهديدات في SOCRadar الخادم المكشوف في 11 يونيو 2026، بينما حلل فريق Ctrl-Alt-Intel نفس الدليل ونشر النتائج في 22 يونيو، قبل أسابيع من تقرير SOCRadar في 9 يوليو. كان سبب انكشاف الخادم بسيطاً: قام المشغل بتشغيل خادم ويب بسيط ببرنامج بايثون لنقل الملفات وتركه يعمل لمدة 22 يوماً.
استخدمت المجموعة ثغرات معروفة وعلنية في إضافات مواقع الويب، معظمها في ووردبريس، وبنت أدوات مسح تلقائية لاستهداف قوائم ضخمة مستخرجة من FOFA، وهو محرك بحث صيني للأنظمة المتصلة بالإنترنت. عند اكتشاف إصدار ضعيف، كانت الثغرة تُستخدم لرفع قوقعة ويب، وهي سكربت صغير يسمح للمهاجم بتنفيذ الأوامر على الخادم من أي مكان، وقراءة الملفات، وسرقة كلمات المرور، والتغلغل أعمق في الشبكة.
غطي نظام الأدوات 27 ثغرة معروفة، لكن عدداً قليلاً منها أدى معظم العمل. كان أكبر مصدر للاختراقات ثغرة في إضافة Breeze caching plugin (CVE-2026-3844)، والتي استهدفت المجموعة بها أكثر من 45,000 هدف، ونجحت في زرع أبواب خلفية في أكثر من 17,000 منها وفقاً لإحصاءاتهم الخاصة. هذه الثغرة تعمل فقط عندما يكون إعداد "Host Files Locally – Gravatars" غير الافتراضي مفعلاً، لذا لم تتعرض معظم عمليات تثبيت Breeze للاستغلال.
أما الرقم الرئيسي وهو 1.4 مليون، فيشير إلى عدد النطاقات المدرجة في قوائم الاستهداف، وليس عدد المواقع المخترقة فعلياً. أكبر ملف في الخادم كان قائمة بـ 587,034 هدفاً من Joomla. الأرقام الفعلية للمواقع المخترقة أقل بكثير: Ctrl-Alt-Intel أحصت 25,195 موقعاً بدليل اختراق مؤكد، بينما SOCRadar، الذي عد قواقع الويب النشطة، قدّر الرقم بأكثر من 5,700 موقع حي. على سبيل المثال، استُهدفت ثغرة في Joomla بأكثر من 560,000 مرة، لكنها نجحت في 77 منها فقط.
كان الباب الخلفي الرئيسي، وهو ملف باسم `down.php`، مخفياً بأربع طبقات ويبدو أنه مشتق من قوقعة الويب مفتوحة المصدر الصينية BestShell. بمجرد التشغيل، يمكنه إدارة الملفات، وتنفيذ الأوامر، وفتح قواقع عكسية، ومسح الشبكة، والتحقق من برامج الأمان. للوصول عن بعد، استخدمت المجموعة SNOWLIGHT dropper لتثبيت VShell، وهو باب خلفي خفي يخفي اسم عمليته كـ `kworker/0:2` ليندمج مع خيوط النواة. في أبريل 2025، ربطت Sysdig هذه السلسلة (SNOWLIGHT-to-VShell) بالمجموعة الصينية المشتبه بها UNC5174. كما احتوى الخادم على آثار لحملة سابقة استهدفت أنظمة Java للشركات في مايو 2026، وسحبت 613 ملف تهيئة من 11 نظاماً عبر 9 شركات في مجالات التكنولوجيا المالية والتجارة الإلكترونية والخدمات اللوجستية والألعاب والإلكترونيات. تضمنت هذه الغنيمة مفاتيح تسجيل الدخول السحابية لـ AWS، Alibaba Cloud، Oracle، Tencent، وDigitalOcean، وكلمات مرور قواعد البيانات، ومفاتيح Alipay RSA الخاصة. اعتمدت على ثغرة قديمة معروفة في Nacos (CVE-2021-29441).
السياق وتأثير السوق
التناقض بين تقديرات SOCRadar لـ 5,700 موقع مخترق وتقديرات Ctrl-Alt-Intel لـ 25,195 موقعاً يكشف عن تحدي قياس نطاق الاختراقات بدقة. بينما يركز أحدهما على قواقع الويب النشطة، يوسع الآخر نطاقه ليشمل أي دليل مؤكد على الاختراق. هذا التفاوت يؤثر على كيفية تقييم الشركات لتهديداتها. عملية WP-SHELLSTORM أظهرت تحولاً من استهداف هادئ وعالي القيمة لأنظمة Java للشركات، كما يتضح من استغلال Nacos (CVE-2021-29441) وسرقة مفاتيح السحابة وAlipay، إلى حملة واسعة النطاق وأكثر ضجيجاً تستهدف ووردبريس وجوملا. هذا التحول يشير إلى استراتيجية لجمع الموارد قبل التوسع.
- SOCRadar مقابل Ctrl-Alt-Intel: الاختلاف في أساليب العد يوضح صعوبة قياس الأثر الحقيقي، حيث SOCRadar يركز على `webshells` النشطة بينما Ctrl-Alt-Intel يقدم أرقاماً أوسع. الفائزون هم الباحثون الذين كشفوا العملية، والخاسرون هم آلاف المواقع الضعيفة.
- حملة ووردبريس مقابل Java: الانتقال من استهداف دقيق لأنظمة الشركات (Java، Nacos) إلى هجمات حجمية على ووردبريس وجوملا يظهر استراتيجية التمويل قبل التوسع، مما يعني أن المجرمين يبحثون عن مكاسب سريعة قبل استهداف أهداف أكثر قيمة.
- إهمال WP-SHELLSTORM مقابل Fancy Bear: تتشابه أخطاء WP-SHELLSTORM الفادحة في ترك الخادم مفتوحاً وكشف سجلات الأوامر مع حادثة Fancy Bear (APT28) في مارس 2026، حيث كشفوا أدواتهم وسجلاتهم في Operation Roundish. هذا يؤكد أن حتى المجموعات المتقدمة يمكن أن ترتكب أخطاء بدائية تكشف عملياتها.
هذا الكشف يؤكد أن المنظمات التي تتجاهل تحديث أنظمتها وإضافاتها تبقى أهدافاً سهلة، بغض النظر عن مدى تعقيد المهاجمين. لا يزال إهمال تحديث إضافة Breeze أو محرر JCE يعرض المواقع لثغرات استغلت بالفعل.
رؤية Glitch4Techs
هذه العملية ليست متطورة بأي معيار. إنها تجسيد صارخ لفشل الأمن السيبراني الأساسي، من جانب المهاجمين والضحايا على حد سواء. استخدام الثغرات العامة، والمسح التلقائي، وقائمة الأهداف الضخمة كانت كافية لاختراق آلاف المواقع، دون الحاجة إلى ثغرات يوم صفر. الكارثة الحقيقية هي أن هذه التفاصيل أصبحت عامة فقط لأن المشغلين كانوا مهملين بما يكفي لترك خادمهم مفتوحاً لأسابيع.
يجب على الشركات والمؤسسات أن تستوعب هذا الدرس جيداً: التهديد الحقيقي لا يكمن دائماً في الهجمات المعقدة، بل في الفشل المستمر في معالجة نقاط الضعف الأساسية. لا عذر لترك إضافات ووردبريس أو جوملا دون تحديث، خاصةً عندما تكون الثغرات مثل CVE-2026-3844 وCVE-2026-48907 معروفة ومستغلة بنشاط. الإهمال في تحديث هذه المكونات هو دعوة مفتوحة للمهاجمين. على الجميع فحص أنظمتهم اليوم، لأن تجاهل هذه المشكلة لن يجعلها تختفي. هذه ليست نصيحة، بل ضرورة. الكسل التقني مكلف، وهذا الدليل لا يترك مجالاً للشك.
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.
مقالات قد تهمك

خرق بيانات AssuranceAmerica يفضح سجلات 7 ملايين سائق: كارثة تأمينية جديدة

مايكروسوفت ترقع ثغرة RoguePlanet الخطيرة في Defender بعد تسريب علني

مايكروسوفت تسد ثغرة "RoguePlanet" بـ Defender تسمح بصلاحيات SYSTEM
