الصفحة الرئيسية >
0

حملة قرصنة صينية تستهدف SharePoint تخترق مؤسسات أمريكية كبرى

هجوم إلكتروني صيني واسع يستهدف خوادم SharePoint ويخترق مؤسسات حكومية أمريكية. اكتشف كيف حدث الاختراق وما هي الثغرات المستخدمة.
علي ماهر علي ماهر

في تطور خطير لهجمات التجسس السيبراني، كشفت شركة مايكروسوفت عن حملة قرصنة ضخمة استهدفت خوادم SharePoint التي تُدار محليًا من قبل المؤسسات. الهجوم بدأ كتجسس منظم، لكنه سرعان ما تحول إلى هجوم فدية واسع النطاق، مما وضع أكثر من 400 مؤسسة في موقف حرج 

حملة قرصنة صينية تستهدف SharePoint وتخترق مؤسسات أمريكية كبرى

ما هي مجموعات الهجوم؟

  • Storm‑2603: استخدمت ثغرات لتوزيع فيروسات Warlock ransomware منذ 18 يوليو.
  • Linen Typhoon و Violet Typhoon: مجموعتان صينيتان مدعومتان حكوميًا، الأولى للسرقة الصناعية، والثانية للتجسس.

الثغرات التقنية المستخدمة

  • CVE‑2025‑49706: ثغرة انتحال هوية الشبكة.
  • CVE‑2025‑49704: ثغرة تنفيذ أوامر عن بُعد.
  • CVE‑2025‑53770 & CVE‑2025‑53771: تجاوزات للباتشات تم اكتشافها لاحقًا لكسر الحماية.

كيف تتم عملية الهجوم؟ (سلسلة ToolShell)

  1. ابدأ من خادم SharePoint محلي معرض للإنترنت.
  2. تحميل Web‑shell مثل spinstall0.aspx عبر نقطة ToolPane.
  3. تشغيل أوامر لاكتشاف البيئة (مثل whoami).
  4. تعطيل الحماية للشركة عبر تعديل التسجيل (registry).
  5. إساءة استخدام مفاتيح MachineKeys للثبات بعد الباتش.
  6. توزيع برامج فدية مثل Warlock باستخدام GPO.

الضرر وحجم الاختراق

  • أكثر من 400 جهة حكومية وشركات حول العالم، بينها إدارة الطاقة، الأمن الداخلي، المعاهد الوطنية للصحة، والإدارة الوطنية للأمن النووي الأمريكية.
  • بعض الهجمات لم تترك أثرًا رقميًا واضحًا، مما زاد الخطر من تخفي الكشف طوال فترة الاختراق.

إجراءات مايكروسوفت ووكالة CISA

  • أصدرت مايكروسوفت تحديثات شاملة لتصحيح الثغرات لكل نسخ SharePoint مدعومة (2016، 2019، Subscription).
  • حذرّت CISA من استغلال نشط لسلسلة ToolShell ونصحت باتباع التعليمات التالية: تثبيت الباتشات فورًا، تفعيل AMSI و Defender، تدوير مفاتيح ASP.NET، وإعادة تشغيل IIS.
  • بعض الباتشات تم اختراقها من جديد بواسطة ثغرات CVE‑53770 و53771 بعد فترة وجيزة.

خلفية الهجمات المتكررة على مايكروسوفت

مايكروسوفت واجهت اختراقات سابقة بارزة، مثل:

  • SolarWinds (2020) – استُخدمت للوصول لحسابات Office 365 لتجسس 
  • Storm‑0558 (2023) – سرقات باستخدام مفتاح توقيع Azure AAD
  • Midnight Blizzard (2024) – استهداف موظفي أمن مايكروسوفت واستغلال أكواد داخلية.

خطوات مهمة للحماية الآن

  • تثبيت الباتشات الأمنية الصادرة في يوليو 2025 لمجموعات SharePoint المذكورة.
  • تفعيل AMSI وMicrosoft Defender، وتدوير مفاتيح ASP.NET وMachineKeys.
  • فحص السجلات لاكتشاف أي نشاط غير اعتيادي أو web-shells.
  • أعادة تشغيل IIS بعد التطبيق، والحد من صلاحيات الدخول إلى الحد الأدنى.
  • المراجعة المستمرة للبنية الداخلية، والنظر في الانتقال نحو خدمات سحابية مؤمنة.

الخاتمة: هل وصلت الهجمات السيبرانية إلى نقطة اللاعودة؟

هجوم ToolShell الأخير يوضح تغير المعادلة من مجرد تجسس إلى تهديد مالي وهجوم فادح على منشآت حيوية. الثغرات تُستغل بسرعة، وباتت جماعات التهديد تعتمد على تقنيات متقدمة تسرّب مفاتيح التشفير وتمكّن من الثبات طويل الأمد. التحديث وحده لم يعد كافيًا، بل أصبح الاعتماد على بنية تحتية أمنية موسّعة ضرورة ملحة.

هل برأيك يجب تقليل الاعتماد على مزود واحد مثل مايكروسوفت في إدارة البنية التحتية السيبرانية للجهات الحكومية؟ شاركنا رأيك في التعليقات!

📩 اشترك في نشرتنا البريدية لتحصل على تحليلات فورية وتقارير سيبرانية مفصلة.

علي ماهر
علي ماهر
خبرة 11 عامًا في كتابة المقالات في مجالات متنوعة مثل التقنية، السيارات، الساتلايت. يمكن متابعة مقالاتي والتواصل معي عبر وسائل التواصل الاجتماعي. فيسبوك - X (تويتر سابقًا) - لينكدإن

مقالات قد تهمك

تعليقات