أعلنت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) عن إدراج ثغرة أمنية خطيرة في برنامج OpenPLC ScadaBR إلى كتالوج الثغرات المعروفة بأنها مستغلة فعليًا (KEV)، وذلك بعد توفر أدلة على استغلالها من قبل جهات تهديد نشطة. الثغرة المعروفة باسم CVE-2021-26829، والتي حصلت على تقييم خطورة 5.4 وفقًا لمقياس CVSS، هي من نوع “البرمجة النصية عبر المواقع” (XSS) وتؤثر على إصدارات البرنامج حتى 1.12.4 على نظام ويندوز، و0.9.1 على نظام لينكس، من خلال ملف system_settings.shtm.
مجموعة TwoNet تنفذ هجومًا على منشأة وهمية
جاء هذا الإعلان بعد أكثر من شهر على كشف شركة Forescout عن محاولة اختراق نفذتها مجموعة هاكتيفست موالية لروسيا تُعرف باسم TwoNet، استهدفت منشأة وهمية (honeypot) تم إعدادها لمحاكاة محطة معالجة مياه. استخدم المهاجمون بيانات اعتماد افتراضية للوصول الأولي، ثم أنشأوا حسابًا جديدًا باسم “BARLATI” لتنفيذ أنشطة استطلاع وتثبيت موطئ قدم داخل النظام.
لاحقًا، استغلت المجموعة ثغرة CVE-2021-26829 لتشويه صفحة تسجيل الدخول إلى واجهة HMI، حيث أضافوا رسالة منبثقة تحمل عبارة “Hacked by Barlati”، كما قاموا بتعديل إعدادات النظام لتعطيل سجلات الأحداث والتنبيهات، دون علمهم بأنهم يخترقون نظامًا وهميًا معدًا للرصد.
TwoNet: من هجمات DDoS إلى استهداف الأنظمة الصناعية
بدأت مجموعة TwoNet نشاطها في يناير 2025 عبر منصة تيليغرام، وركّزت في البداية على تنفيذ هجمات حجب الخدمة (DDoS)، قبل أن تتوسع إلى أنشطة أكثر تعقيدًا مثل استهداف الأنظمة الصناعية، تسريب البيانات (doxxing)، وتقديم خدمات تجارية مثل برامج الفدية كخدمة (RaaS)، وخدمات الاختراق حسب الطلب، وبيع صلاحيات الوصول الأولي. كما أعلنت المجموعة عن ارتباطها بعلامات هاكتيفست أخرى مثل CyberTroops وOverFlame.
بنية تحتية خبيثة طويلة الأمد تستهدف البرازيل
في سياق متصل، رصدت شركة VulnCheck بنية تحتية خبيثة تعتمد على خدمة اختبار أمان التطبيقات خارج النطاق (OAST) مستضافة على Google Cloud، تُستخدم في حملة استغلال إقليمية تستهدف البرازيل. ووفقًا للشركة، تم تسجيل نحو 1,400 محاولة استغلال تغطي أكثر من 200 ثغرة أمنية، باستخدام أدوات جاهزة مثل Nuclei، مع استهداف نطاقات فرعية مثل *.i-sh.detectors-testing[.]com.
كما تم اكتشاف ملف Java باسم TouchFile.class على عنوان IP مرتبط بالبنية التحتية، يُستخدم لتوسيع استغلال ثغرة تنفيذ أوامر عن بُعد في مكتبة Fastjson، مما يسمح بتنفيذ أوامر وإرسال طلبات HTTP إلى عناوين خارجية.
