الصفحات
بحث
تحذير: مجموعة Amaranth Dragon تستغل ثغرة WinRAR للتجسس
الأمن السيبراني #أمن_سيبراني #WinRAR

تحذير: مجموعة Amaranth Dragon تستغل ثغرة WinRAR للتجسس

منذ ساعة 4 مشاهدة 0 تعليق 3 دقائق قراءة
Latest news and stories from BleepingComputer.com
Latest news and stories from BleepingComputer.com مصدر إخباري
4 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

كشفت تقارير أمنية حديثة عن ظهور جهة تهديد جديدة تُعرف باسم Amaranth Dragon، مرتبطة بعمليات APT41 المدعومة من الدولة الصينية، والتي بدأت باستغلال ثغرة أمنية في برنامج الضغط الشهير WinRAR لتنفيذ عمليات تجسس دقيقة تستهدف مؤسسات حكومية وجهات إنفاذ القانون.

استغلال ثغرة WinRAR والتمويه الذكي

وفقاً للباحثين في شركة "تشيك بوينت" (Check Point) للأمن السيبراني، قام المتسللون بدمج أدوات شرعية مع أداة تحميل مخصصة (Amaranth Loader) لتوصيل حمولات مشفرة من خوادم التحكم والسيطرة (C2) المخفية خلف بنية Cloudflare التحتية. يهدف هذا التكتيك إلى زيادة دقة الاستهداف وصعوبة اكتشاف الهجمات.

تتركز الهجمات بشكل أساسي على منظمات في سنغافورة، تايلاند، إندونيسيا، كمبوديا، لاوس، والفلبين، كما توضح الخريطة البيانية التي نشرها الباحثون والتي تبين نطاق الاستهداف وتوقيت الحملة.

آلية الهجوم وتاريخ النشاط

تعتمد المجموعة على الثغرة المصنفة برمز CVE-2025-8088، والتي تسمح بكتابة ملفات خبيثة في مواقع عشوائية عبر استغلال ميزة (ADS) في نظام ويندوز. وقد استغل العديد من المهاجمين هذه الثغرة في هجمات "يوم الصفر" منذ منتصف عام 2025 لضمان استمرار وجودهم في الأنظمة عبر مجلد بدء التشغيل (Startup folder).

وأشار تقرير صادر الأسبوع الماضي عن مجموعة Google Threat Intelligence Group إلى أن هذه الثغرة لا تزال تُستغل بنشاط من قبل مجموعات تهديد متعددة، بما في ذلك RomCom وAPT44 وTurla.

تطور التكتيكات والأدوات المستخدمة

بدأت Amaranth Dragon باستغلال ثغرة WinRAR في 18 أغسطس 2025، أي بعد أربعة أيام فقط من إتاحة أول استغلال عملي للجمهور. ومع ذلك، يرصد الباحثون نشاط هذه المجموعة منذ مارس 2025، حيث حددوا حملات متعددة، كل منها مقيدة باستهداف دولة أو دولتين فقط عبر تقنية تحديد النطاق الجغرافي الصارم (Geofencing).

تضمنت الهجمات استخدام طعوم (Lures) تتمحور حول أحداث جيوسياسية أو محلية لجذب الضحايا. وعند استغلال الثغرة، يتم وضع برنامج نصي ضار في مجلد بدء التشغيل، مما يؤدي إلى تشغيل ملف تنفيذي موقع رقمياً يطلق حمولة Amaranth Loader باستخدام تقنية التحميل الجانبي لمكتبات DLL.

التحكم عبر Telegram وأطر العمل المتقدمة

يقوم المحمل بفك تشفير حمولة AES من عنوان URL خارجي، والتي تكون غالباً إطار عمل Havoc C2 لما بعد الاستغلال. ولتجنب الرصد، قام المهاجمون بتهيئة خوادم C2 لقبول حركة المرور فقط من المناطق المستهدفة.

كما رصدت Check Point أداة وصول عن بعد جديدة تُعرف باسم TGAmaranth RAT، والتي تستخدم روبوتات تيليجرام (Telegram bots) لأنشطة القيادة والتحكم. تدعم هذه الأداة رفع وتحميل الملفات، التقاط صور للشاشة، وإدراج العمليات الجارية، مع قدرة عالية على تجنب برامج مكافحة الفيروسات وحلول EDR.

كيف تحمي نفسك؟

نظراً للاستغلال الواسع لثغرة CVE-2025-8088، ينصح الخبراء المؤسسات والأفراد بالترقية فوراً إلى إصدار WinRAR 7.13 أو الأحدث (الإصدار الحالي 7.20)، حيث تمت معالجة هذه الثغرة الأمنية.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##أمن_سيبراني ##WinRAR ##اختراق ##تكنولوجيا

الأسئلة الشائعة

هي ثغرة أمنية تسمح للمهاجمين بكتابة ملفات خبيثة في مواقع عشوائية بالنظام واستغلال مجلد بدء التشغيل لضمان استمرار الاختراق.

هي مجموعة تهديد سيبراني جديدة مرتبطة بعمليات APT41 الصينية، تستهدف المؤسسات الحكومية في جنوب شرق آسيا لأغراض التجسس.

الحل الأهم هو تحديث برنامج WinRAR فوراً إلى الإصدار 7.13 أو ما بعده، واستخدام حلول أمنية متقدمة للكشف عن الأنشطة المشبوهة.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!