محتويات المقال
تشن مجموعة قرصنة تُعرف باسم GrayCharlie حملة هجمات سيبرانية واسعة تستهدف المواقع التي تعمل بنظام WordPress، وذلك بهدف نشر برمجيات خبيثة تشمل أداة NetSupport RAT وبرمجية Stealc لسرقة البيانات. يعتمد المهاجمون على حقن أكواد JavaScript خبيثة داخل صفحات الويب الشرعية، مما يحول المواقع الموثوقة إلى منصات خفية لتوزيع البرمجيات الضارة على أجهزة الزوار دون علمهم. يُسلط هذا التهديد الضوء على استراتيجية متزايدة الخطورة حيث يستغل مجرمو الإنترنت سمعة أنظمة إدارة المحتوى (CMS) لتجاوز مرشحات الأمان وإيصال الحمولات الضارة.
آلية سلسلة الهجوم والعدوى الصامتة
تعتمد منهجية الهجوم التي تتبعها مجموعة GrayCharlie على التخفي واستغلال البيئات الرقمية غير المحصنة. بمجرد أن يتمكن المهاجمون من الوصول إلى الموقع المستهدفغالباً عبر إضافات برمجية قديمة أو كلمات مرور ضعيفةيقومون بحقن نصوص برمجية مموهة بلغة JavaScript مباشرة في ملفات الرأس (Header) أو التذييل (Footer) للموقع. يعمل هذا الكود كأداة تحميل صامتة، تظل كامنة حتى يقوم زائر بالدخول إلى الصفحة المخترقة. وعلى عكس الهجمات التي تشوه شكل الموقع، تحافظ هذه التقنية على المظهر الطبيعي للصفحة، مما يسمح للبرمجيات الخبيثة بالانتشار لفترات طويلة قبل اكتشافها.
عند التنفيذ، يقوم الكود الخبيث بتحليل متصفح الزائر ونظام التشغيل الخاص به. إذا استوفى الهدف معايير محددة، يبدأ النص البرمجي في تنفيذ عملية تنزيل أو إعادة توجيه. غالباً ما يتم تمويه الحمولة الأساسية على هيئة تحديث شرعي للمتصفح أو مكون برمجي ضروري، مما يخدع المستخدم لتثبيت الملف يدوياً. هذه الخطوة تمهد الطريق لنشر أداة NetSupport RAT، وهي أداة إدارة عن بعد شرعية تم تحويلها إلى سلاح سيبراني للسيطرة الكاملة على جهاز الضحية.
ترسانة البرمجيات: بين NetSupport و Stealc
تكمن خطورة حملة GrayCharlie في تنوع الحمولات الخبيثة التي يتم نشرها. الأداة الأبرز في هذه الحملة هي NetSupport RAT (تروجان الوصول عن بعد). في الأصل، صُمم برنامج NetSupport Manager كأداة شرعية للدعم الفني، لكن المهاجمين يستغلونه لأن توقيعه الرقمي الموثوق يسمح له غالباً بتجاوز برامج مكافحة الفيروسات. بمجرد التثبيت، يمنح البرنامج المهاجمين سيطرة كاملة عن بعد، مما يمكنهم من تنفيذ الأوامر ونقل الملفات ومراقبة نشاط المستخدم في الوقت الفعلي.
بالإضافة إلى ذلك، ينشر المهاجمون برمجيات ثانوية مثل Stealc و SectopRAT. تُعد برمجية Stealc أداة عدوانية لسرقة المعلومات، مصممة لاستخراج البيانات الحساسة مثل كلمات المرور المحفوظة في المتصفح، ومفاتيح محافظ العملات المشفرة، وملفات تعريف الارتباط (Cookies). يتم إرسال هذه البيانات فوراً إلى خوادم القيادة والتحكم (C2) الخاصة بالمهاجمين. أما برمجية SectopRAT فتعمل كآلية ثانوية لضمان الاستمرار، مما يوفر باباً خلفياً للنظام المصاب حتى لو تم اكتشاف وإزالة التروجان الأساسي.
مقارنة التهديدات: أدوات GrayCharlie
يعد فهم القدرات المحددة للبرمجيات التي تستخدمها هذه المجموعة أمراً ضرورياً لفرق الاستجابة للحوادث الأمنية.
| عائلة البرمجيات | الوظيفة الأساسية | ناقل الهجوم | مستوى الخطورة |
|---|---|---|---|
| أداة NetSupport RAT | التحكم عن بعد والمراقبة | تحديثات وهمية / برامج تنزيل | حرج |
| برمجية Stealc | سرقة البيانات (كلمات مرور/محافظ) | حمولة ثانوية | مرتفع |
| برمجية SectopRAT | الاستمرارية والوصول الخلفي | عمليات في الخلفية | مرتفع |
استراتيجيات الدفاع لمديري المواقع
بالنسبة لمديري المواقع وخبراء الأمن السيبراني، يتطلب التصدي لتهديدات GrayCharlie موقفاً استباقياً تجاه أمان أنظمة إدارة المحتوى. خط الدفاع الأول هو إدارة التحديثات بصرامة؛ حيث يضمن تحديث نواة نظام WordPress والقوالب والإضافات إغلاق نقاط الدخول الأكثر شيوعاً. بالإضافة إلى ذلك، يمكن أن يساعد تطبيق جدار حماية تطبيقات الويب (WAF) في اكتشاف ومنع محاولات الحقن الأولية أو تنفيذ أكواد JavaScript الخبيثة.
تعد مراقبة سلامة الملفات طبقة دفاعية حاسمة أخرى. يجب استخدام إضافات أمنية تنبه المسؤولين إلى أي تغييرات غير مصرح بها في الملفات الأساسية (مثل header.php)، مما يكشف العدوى قبل انتشارها للزوار. بالنسبة للمستخدمين النهائيين، يعتمد الدفاع على الشك الصحي: يجب التعامل مع أي مطالبات غير متوقعة لتحديث المتصفح أو تثبيت مكونات "مفقودة" أثناء تصفح المواقع العادية على أنها محاولات اختراق محتملة.
أسئلة شائعة
كيف تقوم مجموعة GrayCharlie باختراق مواقع WordPress؟
تستغل المجموعة عادةً الثغرات الموجودة في الإضافات أو القوالب القديمة، أو تستخدم كلمات مرور إدارية ضعيفة لحقن أكواد JavaScript خبيثة داخل ملفات الموقع.
ما هي أداة NetSupport RAT؟
هي نسخة خبيثة من برنامج NetSupport Manager الشرعي، يستخدمها القراصنة للحصول على تحكم غير مصرح به عن بعد في جهاز الضحية لسرقة البيانات أو تثبيت برمجيات ضارة أخرى.
كيف أعرف إذا كان جهازي مستهدفاً ببرمجية Stealc؟
تعمل برمجية Stealc بصمت لسرقة البيانات. تشمل علامات الإصابة قفل الحسابات بشكل غير متوقع، أو معاملات مالية غير مصرح بها، أو بطء في أداء النظام نتيجة عمليات نقل البيانات في الخلفية.
رأيي التقني
تُعد حملة GrayCharlie تذكيراً صارخاً بأن الحدود بين "البرمجيات الشرعية" و"البرمجيات الخبيثة" أصبحت غير واضحة بشكل متزايد. من خلال تحويل أدوات مثل NetSupport Manager إلى أسلحة، يتبع المهاجمون استراتيجية "العيش من خيرات الأرض" (Living off the land)، مستخدمين ملفات ثنائية موثوقة للتهرب من الكشف. بالنسبة لصناعة الأمن السيبراني، يفرض هذا تحولاً من الكشف القائم على التوقيعات الرقمية إلى التحليل السلوكي. لم يعد بإمكاننا الوثوق بملف لمجرد أنه يحمل توقيعاً رقمياً صالحاً؛ بل يجب التدقيق في كيفية استخدامه. يجب على مديري منصة WordPress التعامل مع مواقعهم ليس فقط كمنصات للنشر، بل كبنية تحتية محتملة للجرائم الإلكترونية، مما يتطلب نظافة أمنية بمستوى المؤسسات الكبرى.