🚧 Cybrat is a sub-brand of SySOC s.r.o. and is currently in beta phase
🚧 سيبرات علامة فرعية مملوكة لشركة سيسوك وتعمل حالياً ضمن المرحلة التجريبية

CYBRAT

ســيــبــرات

لأن الأمان يبدأ بالمعلومة

,

حملة خبيثة جديدة تستهدف أجهزة توجيه تي بي لينك

2–3 minutes

في أحدث تطورات عالم الأمن السيبراني، تم الكشف عن حملة برمجيات خبيثة جديدة تستهدف أجهزة التوجيه (Routers) من نوع تي بي لينك (TP-Link)، والتي أطلق عليها اسم “باليستا” (Ballista). تأتي هذه الحملة نتيجة استغلال ثغرة أمنية خطيرة في أجهزة التوجيه هذه، مما يثير القلق حول سلامة الشبكات المنزلية والمؤسسية على حد سواء.

تحليل الثغرة الأمنية وتأثيرها

الثغرة الأمنية المعروفة باسم (CVE-2023-1389) هي ثغرة ذات خطورة عالية تؤثر على أجهزة توجيه تي بي لينك (TP-Link Archer AX-21). يمكن لهذه الثغرة أن تؤدي إلى تنفيذ أوامر عن بُعد (RCE)، مما يسهل للمهاجمين اختراق الأجهزة المستهدفة. تُعتبر هذه الثغرة بوابة لتسلل برمجيات مثل ميراي (Mirai) وكوندي (Condi) إلى الشبكات.

بدأت أولى عمليات الاستغلال النشطة لهذه الثغرة في أبريل 2023، حيث استخدمها مهاجمون مجهولون لنشر برمجيات خبيثة متنوعة. وقد تم رصد الحملة الحالية “باليستا” لأول مرة في 10 يناير 2025، مع تسجيل أحدث محاولات الاستغلال في 17 فبراير.

تفاصيل الحملة الخبيثة “باليستا”

يتضمن تسلسل الهجوم استخدام أداة تنزيل البرمجيات الخبيثة، وهي نص برمجي (Shell Script) يُعرف بـ “dropbpb.sh”، يقوم بجلب وتنفيذ الملفات الخبيثة على الأنظمة المستهدفة بمختلف معماريات النظام مثل mips وmipsel وarmv5l وarmv7l وx86_64.

بعد التنفيذ، يقوم البرنامج الخبيث بإنشاء قناة مشفرة للتحكم والسيطرة (C2) على المنفذ 82 للسيطرة على الجهاز المستهدف. يمكن للمهاجمين تشغيل أوامر شل (Shell) لتنفيذ هجمات حرمان الخدمة (DoS) واختراقات أخرى.

بعض الأوامر المدعومة تشمل:

  • إطلاق هجمات الفيضان (Flooder)
  • استغلال الثغرة (Exploiter)
  • بدء تشغيل الوحدة (Start)
  • إيقاف الوظيفة (Close)
  • تشغيل أوامر شل على النظام المحلي (Shell)
  • إنهاء الخدمة (Killall)

كما يشتمل البرنامج الخبيث على قدرة إنهاء نفسه وإخفاء وجوده بمجرد بدء التنفيذ، ومحاولة الانتشار إلى أجهزة توجيه أخرى عبر استغلال الثغرة.

تحليل أعمق وتوقعات مستقبلية

تشير الأدلة إلى أن المهاجمين قد يكونون من إيطاليا، نظرًا لاستخدامهم عناوين IP إيطالية وسلاسل نصية باللغة الإيطالية في البرمجيات الخبيثة. ومع ذلك، يبدو أن البرنامج الخبيث لا يزال قيد التطوير، حيث لم يعد عنوان IP المستخدم نشطًا، وتم تطوير نسخة جديدة من البرنامج تستخدم نطاقات شبكة (TOR) بدلاً من عنوان IP ثابت.

يكشف البحث عبر منصة إدارة السطح الهجومي (Censys) أن أكثر من 6,000 جهاز مستهدف من قبل باليستا، حيث تتركز الأجهزة المعرضة للخطر في دول مثل البرازيل وبولندا والمملكة المتحدة وبلغاريا وتركيا. كما أن الحملة تستهدف قطاعات التصنيع والخدمات الطبية والتكنولوجيا في دول مثل الولايات المتحدة وأستراليا والصين والمكسيك.

التحديات والاحتياطات المستقبلية

في ضوء هذه التطورات، من الضروري أن تقوم المؤسسات والمستخدمون الأفراد بتحديث برامج أجهزة التوجيه الخاصة بهم بشكل منتظم لضمان الحماية من الثغرات الأمنية المعروفة. بالإضافة إلى ذلك، يجب على الشركات تعزيز بنيتها التحتية الأمنية واعتماد بروتوكولات أمان متقدمة لمواجهة هذه التهديدات المتزايدة.

ما رأيك في الإجراءات الواجب اتخاذها لمواجهة مثل هذه التهديدات؟ شاركنا رأيك عبر تويتر أو فيسبوك.

اكتشف المزيد مع سيبرات

اشترك ليصلك أحدث المنشورات على بريدك الإلكتروني

شاركنا رأيك بتعليق

المقالات الرائجة

اكتشف المزيد مع سيبرات

اشترك الآن للاستمرار في القراءة والحصول على الوصول الكامل إلى الأرشيف

تابع القراءة