هاكر مبتدئ يحافظ على الوصول بعد إيقاف C2 عبر Tailscale وOpenSSH

مقدمة تحليلية

في تطور يثير القلق بشأن فعالية استراتيجيات الاستجابة للحوادث، كشفت شركة Cato Networks عن تفاصيل اختراق معقد لكنه نفذه هاكر مبتدئ، تمكن من الحفاظ على وصوله إلى شبكة ضحية حتى بعد إيقاف خادم القيادة والتحكم (C2) الخاص به. استهدف المهاجم، الذي عُرف باسم "Poisson" ويتحدث الفرنسية، شركة فرنسية صغيرة تعمل في قطاع السيارات، ونجح في زرع برنامج keylogger وسرقة بيانات اعتماد بنكية وبريد إلكتروني حيوية. ما يميز هذه العملية هو اللجوء الذكي إلى أدوات شرعية مثل OpenSSH و Tailscale لإنشاء طبقة استمرارية مستقلة عن C2، مما سمح للمهاجم بالعودة بعد 18 يوماً من توقف خادم Havoc C2 الخاص به، ليكمل عملياته بشكل طبيعي. هذه الحالة توفر نظرة نادرة على العملية الكاملة للاختراق من منظور المهاجم، وتسلط الضوء على فجوة حرجة في طرق المعالجة التقليدية التي تركز فقط على إزالة البنية التحتية للتحكم والقيادة.

جاء هذا الكشف بعد أن قامت Cato Networks برصد 339 أمراً نفذها المهاجم على مدار 33 يوماً، حيث عثر الباحثون في Cato CTRL، وتحديداً فيتالي سيمونوفيتش، على مفاتيح SSH الخاصة بالمهاجم ودليل تشغيل خطوة بخطوة في سلة تخزين مفتوحة. يشير هذا التقرير إلى أن مجرد إيقاف خادم C2 لا يعتبر حلاً كاملاً إذا كان المهاجم قد أنشأ طرق وصول بديلة ومستقلة. هذه الواقعة تدعو المؤسسات إلى إعادة تقييم افتراضاتها حول إزالة التهديدات والبحث عن طبقات الاستمرارية المخفية التي قد يستخدمها المهاجمون، حتى لو كانوا ذوي خبرة محدودة.

التحليل التقني

تضمنت سلسلة الهجوم التي نفذها "Poisson" عدة مراحل تقنية، بدأت ببرمجية خبيثة تعمل بالكامل تقريباً في الذاكرة لتجنب الكشف. استخدم المهاجم stager يعتمد على VBScript مع تأخير لتجاوز بيئات الاختبار (sandbox evasion)، يقوم بفك تشفير محمل PowerShell. يقوم هذا المحمل بدوره بتنزيل محمل .NET الذي يقوم بتشغيل Havoc's Demon agent دون إسقاط أي ملفات على القرص. للحصول على صلاحيات أعلى، استخدم الأمر Start-Process -Verb RunAs، وهي طريقة تتطلب موافقة المستخدم عبر نافذة UAC في Windows وليست طريقة تجاوز صامتة. استغرق الأمر عدة محاولات على مدى يومين للحصول على الموافقة في إحدى الأجهزة المستهدفة.

بعد الحصول على الصلاحيات، قام المهاجم بتثبيت آليات الاستمرارية التالية:

• مهمة مجدولة (scheduled task) تعمل عند كل تسجيل دخول بأعلى الامتيازات.
• حقن shellcode في عملية Explorer.exe.
• استخدام RustDesk، وهو أداة وصول عن بعد مشروعة، كقناة احتياطية.

لجمع بيانات الاعتماد، استخدم المهاجم keylogger مكتوباً بلغة Python يتألف من 70 سطراً، يقوم بكتابة ضربات المفاتيح إلى ملف محلي. لم يتضمن الـkeylogger أي آلية للاتصال بخادم C2 أو إرسال البيانات تلقائياً، بل كان "Poisson" يقوم بالدخول يدوياً لجمع الملف. كما استخدم أمر powercfg لمنع الأجهزة من الدخول في وضع السكون، مما يضمن استمرار عملية جمع البيانات.

الخطوة الحاسمة التي غيرت مسار الهجوم كانت في 7 أبريل، حيث قام المهاجم، خلال جلسة استمرت خمس ساعات، بتثبيت OpenSSH Server و Tailscale على الجهاز المخترق. قام بضم الجهاز إلى شبكته الخاصة في Tailscale وأعد وصول SSH المستند إلى المفتاح ونفقاً عكسياً (reverse tunnel). سمح له ذلك بالوصول إلى الجهاز عبر شبكة Tailscale المشفرة دون الحاجة إلى خادم C2 أو منافذ مكشوفة. وفي اليوم التالي، توقفت البنية التحتية لـ Havoc C2، لكن وصول المهاجم استمر بفضل مسار Tailscale المستقل. عندما عاد خادم C2 للعمل في 26 أبريل، أعادت برمجياته الاتصال تلقائياً دون الحاجة لإعادة الاختراق. في الأيام الخمسة الأخيرة، نفذ 145 أمراً إضافياً، واستكشف مخازن البطاقات الذكية والشهادات (مما يشير إلى اهتمامه بتسجيلات الدخول المستندة إلى الشهادات)، وقام بتشغيل ملفين تنفيذيين غير مفسرين من ملف مضغوط باسم Thales.zip لمدة 32 دقيقة تقريباً، ثم حذف 17 ملفاً وتوقف في 1 مايو. لم تكن أهداف المهاجم واسعة النطاق؛ لم يستخدم Mimikatz، ولم ينفذ حركة جانبية، ولا برامج فدية، وركز على جمع بيانات الاعتماد البنكية وكلمات مرور البريد الإلكتروني وبوابات الحكومة.

السياق وتأثير السوق

تُظهر هذه الحالة أن الهجمات السيبرانية لا تقتصر على الجهات الفاعلة المتقدمة (APTs) أو الأدوات المتطورة، بل يمكن أن ينفذها مهاجمون مبتدئون باستخدام أدوات مجانية أو شرعية. "Poisson" وُصف بأنه مشغل مبتدئ يعمل وفق جدول دراسي، نشط بعد الساعة الثالثة مساءً بتوقيت وسط أوروبا مع فجوة طويلة في منتصف اليوم. اعتمد على أدوات مجانية مثل DuckDNS وBackblaze B2 وخادم VPS رخيص من IONOS في برلين. على الرغم من ضعف مهاراته (ترك دليله ومفاتيح SSH في سلة تخزين مفتوحة، وتسمية سلال التخزين باسمه، وفشله في حوالي نصف محاولاته)، إلا أنه نجح في اختراق أربعة أجهزة.

النقطة المحورية هنا هي أن الأدوات المستخدمة ليست جديدة. فقد استخدمت APT31 الصينية Tailscale في عامي 2024 و 2025 للتنقل بهدوء داخل شركات تكنولوجيا المعلومات الروسية. كما اعتمدت مجموعة Scattered Spider على أدوات الوصول عن بعد المشروعة مثل Ngrok و Fleetdeck. وحتى RustDesk، قناة الاتصال الاحتياطية لـ "Poisson"، ظهرت في اختراقات حديثة لبرامج الفدية Akira. كون هذه الثنائيات موقعة وشرعية، فإن أنظمة الكشف التي تعتمد فقط على الملفات الخبيثة (bad files) بدلاً من السلوك الخبيث (bad behavior) ستفشل في رصدها. يضيف "Poisson" دليلاً على مستوى الأوامر أن هذه الحيلة قادرة على البقاء حتى بعد إيقاف البنية التحتية الأساسية للهجوم، وأنها تُنفذ حتى من قبل أفراد ما زالوا في طور التعلم.

رؤية Glitch4Techs

تُبرز حالة "Poisson" حقيقة مزعجة في عالم الأمن السيبراني: الاعتماد المفرط على إزالة خوادم القيادة والتحكم (C2) كاستراتيجية علاجية نهائية هو خطأ فادح. ما لم يتم البحث بشكل فعال عن طبقات الاستمرارية الخفية، فإن المهاجمين سيجدون دائماً طريقاً للعودة. هذا يتطلب تحولاً جذرياً في نهج الدفاع، من التركيز على النقاط الفردية للفشل إلى تبني منظور شامل يبحث عن سلوكيات الاستمرارية عبر الشبكة بأكملها.

تقدم Cato قائمة ملموسة بنقاط المراقبة التي يجب على المؤسسات التركيز عليها:

• إصدار تنبيه عند تثبيت OpenSSH Server على محطة عمل Windows، حيث نادراً ما يكون ذلك مشروعاً.
• البحث عن ملف tailscale.exe على الأجهزة التي لا يوجد سبب لتشغيلها لشبكة افتراضية خاصة (VPN).
• مراقبة أنفاق SSH العكسية (ssh -R) التي تتجه إلى مضيفين خارجيين.
• التحقق من تشغيل wscript.exe لملفات .vbs من مجلدات التجهيز الخاصة بالمستخدمين.
• وضع علامة على المهام المجدولة التي تم تعيينها بأعلى الامتيازات والتي تشغل مفسرات النصوص البرمجية.
• مراقبة تغييرات مهلة الاستعداد في powercfg التي تُبقي الأجهزة مستيقظة.
• حظر DuckDNS.

الدرس الأهم هو أنه عند اكتشاف خادم C2، يجب افتراض أنه ليس طريقة الوصول الوحيدة، والبدء في البحث عن طبقة الاستمرارية الصامتة الكامنة وراءه. ما كان موجوداً في ملف Thales.zip وما فعلته البرنامجان خلال 32 دقيقة على الجهاز هو سؤال تركته Cato مفتوحاً. لكن الإجابة الأكثر أهمية هي: أن خادم C2 لم يكن أبداً هو الاختراق بحد ذاته، بل كان مجرد طريقة للوصول إليه. قتله وترك OpenSSH و Tailscale والمهمة المجدولة والـ keylogger تعمل، يعني أن المهاجم لا يزال يملك طريقاً للعودة. وهذا هو الجزء الذي تستمر عمليات المعالجة في تفويته.