كشفت شركة الأمن السيبراني WithSecure عن حملة خبيثة جديدة تُعرف باسم “WEBJACK”، تستهدف خوادم Microsoft IIS من خلال زرع وحدات خبيثة تنتمي إلى عائلة برمجيات BadIIS الضارة. ووفقًا للتقرير، فإن القراصنة يستغلون هذه الخوادم المختَرقة في تنفيذ هجمات “تسميم محركات البحث” (SEO poisoning) والاحتيال الإلكتروني، حيث يتم إعادة توجيه المستخدمين إلى مواقع قمار ومراهنات عبر نتائج محركات البحث.
أهداف رفيعة المستوى في مرمى الهجوم
أشارت WithSecure إلى أن الجهات المهاجمة تمكنت من اختراق أهداف بارزة، من بينها مؤسسات حكومية وجامعات وشركات تكنولوجيا، بالإضافة إلى منظمات أخرى. ويُعتقد أن المهاجمين يستغلون السمعة الرقمية لتلك المؤسسات من أجل تمرير محتوى احتيالي عبر صفحات نتائج محركات البحث، مما يزيد من احتمالية خداع المستخدمين.
غموض حول طريقة الاختراق
حتى الآن، لم يُحدد بدقة المسار الذي استخدمه المهاجمون للوصول الأولي إلى الخوادم، إلا أن الهجمات السابقة باستخدام BadIIS اعتمدت على استغلال تطبيقات ويب ضعيفة، أو استخدام بيانات اعتماد مسؤولين تم الاستيلاء عليها، أو شراء صلاحيات وصول من وسطاء اختراق. هذا النمط من الهجمات يعكس تطورًا في أساليب التسلل الإلكتروني، ويُظهر مدى تعقيد البنية التحتية التي يعتمد عليها المهاجمون.
مؤشرات على صلة صينية بالحملة
تشير الأدلة التقنية إلى وجود صلة قوية بين حملة WEBJACK وجهات تهديد صينية، وهو ما يتماشى مع أنماط عمليات سابقة مثل GhostRedirector وOperation Rewrite وUAT-8099 وTOLLBOOTH. وتُظهر هذه الحملات استخدام أدوات وتقنيات متشابهة، ما يعزز فرضية وجود جهة فاعلة واحدة أو شبكة من الجهات المرتبطة ببعضها البعض تقف وراء هذه الأنشطة الخبيثة.
