مجموعة FamousSparrow المرتبطة بالصين تستغل نفس الثغرة فـ Microsoft Exchange عدة مرات ضد شركة طاقة أذربيجانية

خلاصة: شركة Bitdefender نسبات سلسلة ديال الهجمات على ثلاثة دالموجات، استهدفات شركة أذربيجانية دالنفط والغاز (ماذكروش سميتها)، لمجموعة FamousSparrow المرتبطة بالصين، وهادشي بين أواخر دجنبر 2025 وأواخر فبراير 2026. المهاجمين استغلو سلسلة ProxyNotShell فـ Microsoft Exchange Server شحال من مرة واخا الشركة حاولات ترقع الثغرة، وخدمو ببيبان خلفية (backdoors) بحال Deed RAT و TernDoor فخلال هاد الحملة. الاستغلال المستمر لنفس الثغرة واخا تدارو محاولات الترقيع كيبين بلي كاين فرق كبير بين ترقيع الثغرات والإزالة الكلية ديال المهاجمين من النظام.

شنو وقع

بين أواخر دجنبر 2025 وأواخر فبراير 2026، تعرضات شركة ديال النفط والغاز فـ أذربيجان لثلاثة ديال الموجات دالاختراق منفصلة نفذاتها FamousSparrow (لي معروفة حتى بـ UAT-9244)، وهي مجموعة دالتهديد عندها ارتباطات بالصين. Bitdefender أكدات هاد الارتباط بثقة متوسطة حتى لعالية.

المهاجمين استغلو سلسلة ProxyNotShell فـ Microsoft Exchange Server باش ياخدو الصلاحيات الأولية. المثير للاهتمام هو أنهم رجعو لنفس نقطة الدخول المصابة فالموجات بثلاثة كاملين واخا المؤسسة دارت مجهودات باش تصلح المشكل، وكيعاودو ينشرو البرمجيات الخبيثة كل مرة كتحيد فيها حمولة (payload) القديمة.

الموجة الأولى (25 دجنبر 2025): من بعد الاختراق الأولي، المهاجمين حطو web shells ومن بعد Deed RAT، لي هو النسخة المطورة ديال ShadowPad. البرمجية الخبيثة تفرقات باستعمال تقنية متطورة ديال DLL side-loading كتعتمد على التطبيق الشرعي LogMeIn Hamachi. على عكس الـ DLL side-loading العادي، هاد الطريقة كتلغي جوج ديال الوظائف المصدَّرة (exported functions) فمكتبة الربط الديناميكي الخبيثة، وهادشي كيصاوب trigger على جوج مراحل كيتنفذ من خلال مسار العمل العادي ديال التطبيق المضيف. المهاجمين دارو تحركات جانبية (lateral movement) باش يوسعو السيطرة ديالهم داخل الشبكة.

الموجة الثانية (أواخر يناير/أوائل فبراير 2026): تقريبا من بعد شهر، فاعل التهديد حاول يثبت TernDoor باستعمال DLL side-loading عن طريق Mofu Loader، لي هو shellcode loader سبق وربطوه بمجموعة GroundPeony. هاد المحاولة مانجحاتش.

الموجة الثالثة (أواخر فبراير 2026): المهاجمين رجعو عوتاني، وهاد المرة استعملو نسخة معدلة من Deed RAT مبرمجة باش تستعمل "sentinelonepro[.]com" للاتصالات ديال القيادة والتحكم (C2). هاد النسخة كاتبين المجهودات ديالهم باش يطورو الترسانة ديال البرمجيات الخبيثة الخاصة بيهم.

مجموعة FamousSparrow عندها تقاطعات تكتيكية مع مجموعات خرى بحال Earth Estries و Salt Typhoon. فالسابق، تم اكتشاف TernDoor فـ هجمات ضد البنية التحتية ديال الاتصالات بأمريكا الجنوبية من 2024، وهادشي كيشير للنطاق الواسع دالعمليات دالمجموعة.

علاش هادشي كيهم

هاد الحملة كاتبين نمط استغلال مستمر لي خاص المدافعين يفهموه: ترقيع الثغرة ما كيضمنش بالضرورة التخلص من المهاجم. المؤسسة دارت ترقيع لـ Microsoft Exchange ولكن بقات مخترقة، وهادشي سمح للمهاجمين يرجعو من نفس الطريق.

بالنسبة للمدافعين فقطاع الطاقة فمنطقة الشرق الأوسط وشمال إفريقيا، هاد الحالة عندها أهمية كبيرة لمرونة البنية التحتية. التوقيت - يعني استهداف الدور المتزايد ديال أذربيجان فالأمن الطاقي الأوروبي من بعد انتهاء صلاحية اتفاقية نقل الغاز بين روسيا وأوكرانيا فـ 2024 - كيرجح وجود دوافع جيوسياسية وكيبين أن شركات الطاقة غاتبقى أهداف ذات قيمة عالية بالنسبة للمجموعات للي تابعة للدول.

تطور تقنية DLL side-loading كيبين التحسين المستمر ديال أساليب التهرب الدفاعي. وهاد الطريقة دالموجات المتعددة لي كتعتمد على نقط استناد إضافية كتعكس الانضباط فالعمليات: يلا تم اكتشاف حمولة (payload) وتحيدات، المهاجم كيبقي على الصلاحيات ديالو عن طريق بيبان خلفية (backdoors) بديلة ومواقع التحرك الجانبي (lateral movement).

بالنسبة لمحللي مركز العمليات الأمنية (SOC)، هادشي كيأكد أن الاستجابة للحوادث خاصها ضروري تشمل تغيير شامل لـ بيانات اعتماد (credentials)، وحذف ڭاع الـ web shells والأدوات لي ثبتها المهاجم، مع التأكد من أن التطبيقات الشرعية (بحال LogMeIn Hamachi) ما كيتمش استخدامها بشكل سيء لتمرير البرمجيات الخبيثة.

الأنظمة المتضررة و CVEs

• Microsoft Exchange Server – تم الاستغلال ديالو عن طريق سلسلة ProxyNotShell؛ ولم يتم الكشف على معرفات CVE محددة وقت النشر
• Deed RAT (Snappybee) – لي جا مورا ShadowPad؛ تخدم فالموجة الأولى والثالثة
• TernDoor – محاولة التثبيت فالموجة الثانية؛ تلاحظ من قبل فاستهداف قطاع الاتصالات فأمريكا الجنوبية
• LogMeIn Hamachi – برنامج شرعي تستعمل بشكل سيء باش يتدار DLL side-loading
• Mofu Loader – استعمل لمحاولة تثبيت TernDoor

ماتعينش حتى شي CVE وقت النشر لهاد الاستغلال ديال ProxyNotShell.

شنو خاص يدار

• دير تحديث / ترقيع للـ ثغرة الأصلية ديال Microsoft Exchange وتأكد بلي الترقيع تدار لجميع الخواديم
• بدل ڭاع بيانات اعتماد (credentials) لي كاين احتمال تكون تسرقات فالمؤسسة كاملة
• دير تحليل جنائي رقمي شامل باش تحدد وتحيد ڭاع الـ web shells، وبيبان خلفية (backdoors)، والأدوات لي ثبتها المهاجم
• نشر أو حسن وسائل الكشف على الـ web shells وأدوات المنع
• راجع السجلات (logs) باش تقلب على مؤشرات التحرك الجانبي (lateral movement)، خصوصا عمليات تسجيل الدخول والأنشطة المشبوهة ديال الحسابات بصلاحيات عالية
• راقب الاتصالات الخارجية لغادية لـ "sentinelonepro[.]com" والبنية التحتية ديال C2 المعروفة دـ FamousSparrow
• طبق عزل الشبكة (network segmentation) باش تحد من التحركات الجانبية إلى وقع شي اختراق مرة خرى

أسئلة باقة مطروحة

• شنو هي معرفات CVE المحددة ديال ثغرات ProxyNotShell لي تستغلات فهاد الحملة؟
• شنو هي الهوية ديال شركة النفط والغاز الأذربيجانية المستهدفة؟
• واش نجحو يحيدو ڭاع نقط الاستناد ديال المهاجم من بعد كل موجة، ولا بقاو شي وحدين مخبيين ماتعاقش بيهم؟
• شنو هي الحالة الحالية ديال الاختراق — واش باقين كيراقبو المؤسسة ولا كتعتبر تعالجات كليا؟
• شحال من جهاز تقاس بالتحرك الجانبي (lateral movement)، وشنو هي الأنظمة دالعمل لي قدرو المهاجمين يوصلو ليها؟
• علاش فشلات محاولة تثبيت TernDoor فالموجة الثانية، واش بسبب تدخل دفاعي ولا خطأ تقني؟
• شنو هي بيبان خلفية (backdoors) أو طرق الوصول الخرى لي تقدر تكون باقة مخبية فالبيئة وماتكتاشفاتش؟

المصدر

Azerbaijani Energy Firm Hit by Repeated Microsoft Exchange Exploitation