حدث نيوز

كشف باحثون في مجال الأمن السيبراني عن ظهور متغير جديد من البرمجية الخبيثة Chaos، بات يستهدف بيئات الحوسبة السحابية سيئة الإعداد، في خطوة تعكس توسّعًا ملحوظًا في نطاق عمل هذه الشبكة الخبيثة (Botnet) وتطورًا في أساليبها الهجومية.

ووفقًا لتقرير حديث صادر عن شركة Darktrace، فإن البرمجية لم تعد تقتصر على استهداف أجهزة التوجيه (Routers) والأجهزة الطرفية، بل بدأت بالتركيز بشكل متزايد على الخوادم والخدمات السحابية غير المؤمنة بشكل جيد.

تطور مستمر منذ 2022

يُذكر أن برمجية Chaos تم رصدها لأول مرة في سبتمبر 2022 من قبل Lumen Black Lotus Labs، حيث صُنّفت كبرمجية خبيثة متعددة المنصات تستهدف أنظمة Windows وLinux، وتمكّن المهاجمين من تنفيذ أوامر عن بُعد، ونشر برمجيات إضافية، والانتشار عبر الشبكات باستخدام هجمات القوة الغاشمة على مفاتيح SSH، إضافة إلى تعدين العملات الرقمية وتنفيذ هجمات حجب الخدمة الموزعة (DDoS).

وتشير التحليلات إلى أن Chaos تمثل نسخة متطورة من برمجية Kaiji، التي كانت تستهدف حاويات Docker سيئة الإعداد. ورغم عدم تحديد الجهة المسؤولة عن الهجمات، فإن وجود مؤشرات مرتبطة باللغة الصينية وبنية تحتية داخل الصين يرجّح وقوف جهات صينية خلف هذه العمليات.

استهداف بيئات Hadoop عبر ثغرات الإعداد

وأوضحت Darktrace أنها رصدت المتغير الجديد أثناء استهداف بيئة اختبار (Honeypot) تتضمن نظام Hadoop مُعدًا بشكل غير آمن، ما أتاح للمهاجمين تنفيذ أوامر عن بُعد.

بدأ الهجوم بطلب HTTP لإنشاء تطبيق داخل النظام، تضمن أوامر لسحب ملف تنفيذي من خادم يتحكم به المهاجم، ومنحه صلاحيات تشغيل كاملة، ثم تنفيذه وحذفه فورًا لتقليل فرص تتبّع الهجوم.

ارتباط بحملات تصيّد صينية

ومن المثير للاهتمام أن النطاق المستخدم في الهجوم سبق استخدامه في حملة تصيّد إلكتروني نفذتها مجموعة Silver Fox، والتي اعتمدت على نشر مستندات وهمية وبرمجية خبيثة تُعرف باسم ValleyRAT، ضمن عملية أُطلق عليها اسم “Operation Silk Lure” في أكتوبر 2025.

ميزة جديدة تزيد من خطورة الهجمات

النسخة الجديدة من Chaos جاءت بعدة تحديثات جوهرية، أبرزها إزالة بعض آليات الانتشار القديمة، واستبدالها بإضافة ميزة SOCKS Proxy.

وتتيح هذه الميزة استخدام الأجهزة المصابة كوسيط لنقل حركة البيانات، ما يساعد المهاجمين على إخفاء مصدر الهجمات الحقيقية، ويجعل عملية اكتشافها أو التصدي لها أكثر تعقيدًا.

دوافع مالية وتوسيع الخدمات الإجرامية

ويرى خبراء أن إدخال خاصية الوكيل يعكس توجه القائمين على البرمجية نحو تحقيق أرباح إضافية، عبر تقديم خدمات غير قانونية متنوعة، بدلًا من الاعتماد فقط على تعدين العملات الرقمية أو تنفيذ هجمات DDoS مقابل المال.

تهديد متزايد للمؤسسات

واختتمت Darktrace تقريرها بالتأكيد على أن التطور المستمر لبرمجية Chaos يعكس إصرار مجرمي الإنترنت على تعزيز قدراتهم وتوسيع شبكاتهم، مشيرة إلى أن إدخال خدمات الوكيل ضمن بنية هذه الشبكات يعني أن تهديدها لم يعد يقتصر على هجمات حجب الخدمة، بل أصبح يشمل أنشطة أكثر تعقيدًا وخطورة على المؤسسات وفرق الأمن السيبراني.