استغلال نشط لثغرات Ivanti و Palo Alto Networks كيتزامن مع ظهور RAT فـ Linux فهاد السيمانة ديال هجمات سلسلة التزويد وسرقة بيانات الاعتماد

خلاصة: كاين استغلال نشط لثغرات فـ Ivanti EPMM و PAN-OS ديال Palo Alto Networks من طرف مهاجمين. واحد الـ RAT جديد فـ Linux سميتو Quasar كيجمع بين وظيفة الـ rootkit وشبكة peer-to-peer mesh باش يقاوم محاولات الإيقاف. اختراق سلسلة التزويد ديال DAEMON Tools، وحملات سرقة بيانات اعتماد لي كتستهدف البنية التحتية ديال السحابة، واستخدام أدوات RMM شرعية كآليات للاستمرار، هادشي كامل كيكمل سيمانة ديال هجمات منسقة وانتهازية عبر بزاف ديال النواقل.

شنو واقع

حذرات شركة Ivanti الكليان ديالها بلي CVE-2026-6973، لي هو عيب فـ input validation فـ Endpoint Manager Mobile (EPMM)، تم استغلالو بنجاح من طرف مهاجمين. هاد الثغرة كتخلي المستخدمين لي عندهم صلاحيات إدارية باش ينفذو الكود عن بعد. شركة Ivanti ما حدداتش امتى وقع أول استغلال أو شحال ديال الكليان تأثرو بهادشي.

فالتوازي مع هادشي، علنات Palo Alto Networks بلي كاين ثغرة zero-day فـ PAN-OS كيتم الاستغلال ديالها حاليا. هاد الثغرة لي معروفة بـ CVE-2026-0300، هي عبارة على عيب ديال memory corruption كيأثر على بوابة المصادقة، وكيسمح لأي مهاجم (بدون مصادقة) ينفذ كود بصلاحيات root على firewalls ديال PA-Series و VM-Series. الشركة وضحات بلي فاعل التهديد يقدر يكون حاول يستغل ثغرة حرجة تعلن عليها مؤخرا ابتداء من 9 أبريل 2026، ولكن ما عطاتش تفاصيل دقيقة على الوقت أو طريقة الاكتشاف. شركة Censys لقات تقريبا 263,000 جهاز متصل بالأنترنيت خدام بـ PAN-OS.

باحث أمني (مع باحثين آخرين) حددو RAT جديد فـ Linux سميتو Quasar Linux (QLNX). هاد البرمجية الخبيثة كتجمع بين وظيفة الـ rootkit على مستوى الـ kernel، و باب خلفي (backdoor) للمصادقة مبني على PAM، وآليات باش تبقى فالسيرفر. الميزة لي كتخلي هاد الـ RAT خطير هي قدرة الـ peer-to-peer mesh لي كتخلق شبكة إصابة مترابطة بين الأجهزة المخترقة، هادشي كينقص الاعتماد على البنية التحتية المركزية ديال الـ command وكيصعب جهود المعالجة.

واحد فاعل التهديد مجهول الهوية طلق حملة سماوها PCPJack كتستهدف أسرار السحابة وبيانات اعتماد عبر بزاف ديال فئات الخدمات. هاد الحملة نشطة من أواخر أبريل، وكتزول بشكل منهجي البرمجيات الخبيثة المنافسة — وبالضبط الأدوات لي مرتبطة بمجموعة TeamPCP — وكتنشر البرمجيات ديالها لي كتجمع بيانات اعتماد. المهاجم كينتشر عرضيا عن طريق استهداف بنية السحابة التحتية لي مفتوحة وقابلة للاختراق، وكيخدم ملفات parquet ديال Common Crawl باش يكتشف الأهداف ديالو.

مجموعة MuddyWater، لي هي مجموعة مدعومة من الدولة الإيرانية، خبات عملية تجسس فصورة هجوم ransomware ديال Chaos. المجموعة استعملات الهندسة الاجتماعية عن طريق Microsoft Teams باش تاخذ الوصول الأولي، ومن بعد دارت استطلاع، وجمع بيانات اعتماد، وتصدير غير مصرح للبيانات. ولكن ما تنفذ حتى شي تشفير للملفات بالـ ransomware، وهادشي ماشي من العادة ديال هجمات Chaos. الضحية بانت فالموقع ديال تسريب البيانات ديال Chaos، وغالبا هادشي غير للتمويه. شركة Rapid7 ما لقات حتى شي دليل كيربط MuddyWater بـ Chaos.

فبداية أبريل، وقع اختراق فـ سلسلة التزويد لي قاص installers ديال DAEMON Tools، هادشي أثر على مستخدمين فكثر من 100 دولة. النسخ الخبيثة تفرقات لآلاف الأجهزة فـ روسيا، البرازيل، تركيا، إسبانيا، ألمانيا، فرنسا، إيطاليا، والصين. أغلبية الضحايا وصلهم غير data miner؛ ولكن واحد المجموعة مختارة ديال الأهداف فـ قطاعات البيع بالتجزئة، والقطاع العلمي، والحكومي، والصناعي فـ روسيا، بيلاروسيا، وتايلاند، وصلهم shellcode loader معقد شوية. تم تحديد مؤسسة تعليمية وحدة فـ روسيا لي وصلها QUIC RAT. شركة Kaspersky لاحظات عناصر ديال اللغة الصينية فـ الكود الخبيث، ولكن ما ربطاتش هاد الحملة بشي مجموعة محددة.

واحد حملة تصيد (phishing) نشطة كتستهدف قطاعات مختلفة، خدامة على الأقل من أبريل 2025. المهاجمين فيها كيستعملو أدوات RMM شرعية بحال SimpleHelp و ScreenConnect باش يضمنو وصول عن بعد ومستمر، عوض ما يستعملو برمجيات خبيثة تقليدية.

علاش هادشي مهم

الاستغلال المتزامن ديال ثغرات Ivanti و Palo Alto Networks كيخلق خطر مزدوج للمقاولات. ثغرة Ivanti EPMM كتحتاج مصادقة، هادشي كيضيق مساحة الهجوم ولكن ما كيلغيهاش؛ بينما ثغرة PAN-OS CVE-2026-0300 ما كتحتاجش أي مصادقة، هادشي لي كيخليها خطر مباشر وعاجل لأي مؤسسة خدامة بـ firewalls متصلة بالأنترنيت. مع اكتشاف 263,000 جهاز معرض للخطر، الحجم المحتمل ديال الاختراق كيبقى كبير بزاف.

ظهور Quasar Linux كيمثل تطور فـ آليات البقاء والـ persistence. معمارية الـ P2P mesh كتعني بلي تقسيم الشبكة وطيحان السيرفرات ديال الـ command بوحدو ما كافيش باش يوقف هاد الحملة النشطة؛ الأجهزة المصابة غتبقى قادرة تواصل بيناتها بشكل عرضي، هادشي كيصعب الكشف والمعالجة بحال بحال. المكونات ديال الـ rootkit و الـ باب خلفي (backdoor) ديال PAM كيخليو المهاجمين يحافظو على الوصول ديالهم و يبقاو مخبعين على أنظمة مراقبة الـ processes العادية.

استهداف PCPJack لبنية السحابة وبيانات اعتماد كيأكد بلي فاعل التهديد حاليا مابقاش كيركز غير على اختراق الـ endpoints، بل ولى كيعتابر الهويات والأسرار هي الهدف الرئيسي فالهجوم. الانتشار العرضي عن طريق موارد السحابة لي قابلة للاختراق كيبين بلي المدافعين لي كيعتامدو غير على حماية محيط الشبكة غادي يزگلو هاد الناقل.

اختراق سلسلة التزويد ديال DAEMON Tools كيبين بلي الخطر ديال قنوات توزيع البرامج الموثوقة ديما كاين و مستمر. نشر برمجيات متقدمة غير لأهداف ذات قيمة عالية، كيعني بلي كاين انتقاء واستقصاء للأهداف، ماشي غير توزيع عشوائي.

استخدام أدوات RMM شرعية كيمكن المهاجمين من تجاوز الـ signatures ديال الحماية ومراقبة السلوك لي مصممة باش تلقى البرمجيات المشبوهة. هاد المقاربة كتنقص الصعوبات على المهاجمين وكتخلي صعيب نفرقو بين هاد العمليات الخبيثة وبين عمليات الـ IT الشرعية.

الأنظمة المتأثرة والـ CVEs

• Endpoint Manager Mobile (EPMM) ديال Ivanti — CVE-2026-6973
• PAN-OS ديال Palo Alto Networks (PA-Series و VM-Series firewalls) — CVE-2026-0300
• أنظمة Linux (Quasar Linux RAT)
• DAEMON Tools (إصدارات متعددة)

شنو خاصك دير

• دوزو ترقيع ديال CVE-2026-0300 ابتداء من 13 ماي 2026، وعطيو الأولوية لأجهزة PAN-OS لي متصلة بالأنترنيت.
• راجعو الـ logs ديال Ivanti EPMM باش تقلبو على أي دليل على تنفيذ كود مصادق عليه، وتاكدو من النشاط ديال الحسابات الإدارية.
• سكانيو أنظمة Linux باش تقلبو على مؤشرات الإصابة بـ Quasar Linux، بما فيها الآثار ديال الـ kernel modules والتعديلات لي طرات على الـ PAM.
• راجعو بنية السحابة التحتية وشوفو واش كاينين منافذ مفتوحة، ولا خدمات ما دازش ليها تحديث، ولا بيانات اعتماد مكشوفة فـ بيئات الـ container و الـ CI/CD.
• راقبو التثبيتات الجديدة ديال أدوات الـ RMM و ترافيك الشبكة لي خارج من الـ processes ديال SimpleHelp و ScreenConnect.
• تأكدو من سلامة البرامج لي تثبتات مؤخرا، خصوصا DAEMON Tools، وقارنوها مع الـ hashes الموثوقة من المصادر الرسمية.

أسئلة باقة مطروحة

• امتى بدا الاستغلال ديال ثغرة Ivanti EPMM، وشحال ديال الكليان لي تأكد الاختراق ديالهم؟
• شكون هو فاعل التهديد لي مور الحملة ديال PCPJack، وشنو العلاقة ديالو بـ TeamPCP، يلا كانت كاينة؟
• امتى وكيفاش اكتشفات Palo Alto Networks الاستغلال النشط لـ CVE-2026-0300؟
• شكون المسؤول على اختراق سلسلة التزويد ديال DAEMON Tools، وشنو كانت المعايير ديال اختيار الأهداف باش يصيفطو ليهم البرمجيات المتقدمة؟
• شنو هي المؤسسات المحددة لي استهدفاتها حملة تصيد (phishing) باستعمال RMM، وشنو هي البيانات لي وصلو ليها المهاجمين؟

Source

⚡ Weekly Recap: Linux Rootkit, macOS Crypto Stealer, WebSocket Skimmers and More