قراصنة يستغلون أدوات Nightmare-Eclipse بعد اختراق وصول FortiGate SSL VPN
كشفت تقارير أمنية عن حملة اختراق واقعية استخدم فيها مهاجمون أدوات تصعيد الصلاحيات المعروفة باسم Nightmare-Eclipse، مثل BlueHammer وRedSun وUnDefend، وذلك عقب وصول غير مصرح به عبر خدمة FortiGate SSL VPN تم اختراقها.
حماية البيانات الشخصية: دليل شامل لحماية خصوصيتك وأمانك الرقمي
وتُعد هذه الحادثة أول توثيق فعلي لاستخدام هذه الأدوات في بيئة مؤسسية حقيقية، ما يثير مخاوف كبيرة لدى فرق الأمن السيبراني حول العالم.
الأدوات المستخدمة تم تطويرها من قبل باحث أمني يُعرف باسم Chaotic Eclipse، أو Nightmare-Eclipse، وهو اسم مستعار لشخص قام بنشر ثغرات تصعيد صلاحيات محلية بعد خلافه مع Microsoft بشأن سياسات الإفصاح عن الثغرات.
تعتمد أدوات BlueHammer وRedSun وUnDefend على استغلال ثغرات منطقية داخل نظام Windows Defender، ما يسمح للمهاجمين بالانتقال من حساب محدود الصلاحيات إلى مستوى SYSTEM، أو تعطيل وظائف الحماية دون الحاجة إلى صلاحيات إدارية.
وقد قامت مايكروسوفت بإصلاح ثغرة BlueHammer ضمن تحديثات أبريل 2026 (Patch Tuesday) تحت المعرف CVE-2026-33825، بينما لا تزال أداتا RedSun وUnDefend ثغرات يوم صفر (Zero-Day) غير مُعالجة حتى الآن، ويمكن استغلالها حتى على الأنظمة المحدثة.
بدأ رصد الهجوم في 10 أبريل 2026، عندما تم تشغيل ملف FunnyApp.exe (نسخة من أداة BlueHammer) من مجلد الصور الخاص بالمستخدم، قبل أن يتم عزله من قبل Defender.
وفي 16 أبريل، تصاعد النشاط مع تشغيل أداة RedSun من مجلد التنزيلات، إلى جانب تنفيذ أداة UnDefend عدة مرات من مجلدات فرعية قصيرة مثل \ks\ و\kk.
وأظهرت التحقيقات أن المهاجم لم يكن متمرسًا بشكل كافٍ، حيث استخدم معاملات خاطئة أثناء تشغيل الأدوات، ما يدل على عدم فهم كامل لها.
ورغم خطورة الهجوم، لم تنجح محاولات تصعيد الصلاحيات، حيث:
- فشلت BlueHammer في استخراج بيانات SAM
- لم تتمكن RedSun من استبدال ملف حساس داخل النظام
- تم إيقاف UnDefend من قبل فريق الأمن أثناء التنفيذ
لكن الأخطر كان في طريقة الاختراق، حيث أظهرت سجلات VPN أن المهاجم دخل إلى الشبكة باستخدام بيانات اعتماد صحيحة في 15 أبريل 2026 من عنوان IP في روسيا، ثم تم رصد جلسات لاحقة من سنغافورة وسويسرا، ما يشير إلى إساءة استخدام بيانات الدخول أو بيعها.
كما تم اكتشاف أداة خبيثة أخرى باسم BeigeBurrow، وهي برنامج مكتوب بلغة Go، يعمل على إنشاء قناة اتصال خفية ومستدامة بين الجهاز المخترق وخادم المهاجم عبر المنفذ 443، باستخدام مكتبة Yamux.
وتُعد هذه الأداة الوحيدة التي نجحت فعليًا في تحقيق هدفها، حيث تمكنت من إنشاء اتصال خارجي مستمر، وقد تم رصدها أيضًا في هجوم آخر سابق.
وأكدت التحقيقات وجود مهاجم نشط داخل النظام، يقوم بتنفيذ أوامر استكشافية مثل:
- whoami /priv
- cmdkey /list
- net group
ومن الملاحظات الغريبة تشغيل أحد الأوامر عبر عملية مرتبطة بـ Microsoft 365 Copilot، وهو سلوك غير معتاد لا يزال قيد التحقيق.
مؤشرات الاختراق (IoCs):
- عناوين IP من روسيا، سنغافورة، وسويسرا
- نطاق خادم التحكم: staybud.dpdns[.]org
- ملفات خبيثة: FunnyApp.exe، RedSun.exe، undef.exe
- توقيع BlueHammer في Defender
التوصيات الأمنية:
ينصح الخبراء المؤسسات باتخاذ إجراءات فورية، أبرزها:
- تحديث الأنظمة لسد ثغرة CVE-2026-33825
- فحص المجلدات القابلة للكتابة بحثًا عن الملفات المشبوهة
- مراجعة سجلات VPN لرصد أي نشاط غير طبيعي
- مراقبة ومنع الاتصالات المشبوهة عبر المنفذ 443
- تتبع أوامر ما بعد الاختراق
كما تم نشر قاعدة YARA للمساعدة في اكتشاف أداة BeigeBurrow وتعزيز جهود الحماية على مستوى المجتمع الأمني.
الأمن السيبراني: الدليل الشامل لحماية البيانات والأنظمة من الهجمات الإلكترونية
