عملية Endgame تُطهّر 15 ألف موقع WordPress من برمجية SocGholish الخبيثة
أبرز النقاط
- تطهير 14,971 موقع WordPress من برمجية SocGholish الخبيثة ضمن عملية دولية منسّقة
- إسقاط 106 خوادم ونطاقات مرتبطة بعصابة Evil Corp الروسية
- العملية جزء من Operation Endgame الأوسع نطاقاً لتفكيك منظومة البرمجيات الخبيثة
في ضربة استباقية موجّهة ضد البنية التحتية للجريمة السيبرانية، أعلنت أجهزة إنفاذ القانون الدولية عن تطهير ما يقارب 15,000 موقع WordPress من برمجية SocGholish الخبيثة، وإسقاط أكثر من 100 خادم مرتبط بعصابة Evil Corp الروسية. هذه العملية المنسّقة تُمثّل تصعيداً جديداً في الحرب على سلاسل العدوى الرقمية التي تستهدف ملايين المستخدمين حول العالم.
ما هي عملية Endgame وما علاقتها بـ SocGholish؟
جاءت هذه الحملة ضمن إطار Operation Endgame، وهي أكبر عملية دولية منسّقة لتفكيك منظومة البرمجيات الخبيثة من نوع 'الـ droppers' — أي البرمجيات المسؤولة عن توصيل حمولات خبيثة متنوعة إلى الأجهزة المستهدفة. أُطلقت العملية في مايو 2024 بدعم من Europol وEurojust، وتُركّز على قطع سلاسل العدوى التي تغذّي عمليات الفدية والاختراق.
شارك في هذه المرحلة المحددة كلٌّ من وحدة مكافحة الجرائم التقنية العليا الهولندية (NHCTU)، والشرطة الملكية الكندية (RCMP)، ومكتب التحقيقات الفيدرالي الأمريكي (FBI)، ومكتب الشرطة الجنائية الفيدرالية الألمانية (BKA). أسفرت العملية عن تطهير 14,971 موقعاً مُخترقاً وإسقاط 106 خوادم ونطاقات.
كيف تعمل برمجية SocGholish وما خطورتها؟
برمجية SocGholish، المعروفة أيضاً باسم FakeUpdates أو GhoLoader، هي محمّل خبيث مبني على JavaScript يعمل منذ عام 2017 على الأقل. تعتمد البرمجية على اختطاف مواقع شرعية — معظمها يعمل على WordPress — ثم خداع الزوار لتحميل تحديثات مزيفة للمتصفح.
حين يُثبّت المستخدم هذا التحديث الوهمي، تفتح البرمجية قناة اتصال مع خوادم المهاجمين، مما يمنحهم وصولاً كاملاً إلى النظام المصاب. استُخدمت SocGholish تاريخياً لنشر عائلات برمجية خبيثة متعددة تشمل Dridex وDoppelpaymer وEmpire وKoadic وChtonic وAzorult.
- تستهدف مواقع WordPress الشرعية لاستغلال ثقة الزوار
- تُقدّم نفسها كتحديث للمتصفح لخداع المستخدمين
- تفتح باباً خلفياً للمهاجمين بمجرد التثبيت
- مرتبطة بعمليات فدية متعددة مثل WastedLocker وHades
من هي عصابة Evil Corp ولماذا تُعدّ تهديداً خطيراً؟
عصابة Evil Corp هي مجموعة جريمة سيبرانية روسية نشطة منذ عام 2007، وتُعدّ من أخطر المجموعات في عالم الجريمة الرقمية. ارتبطت العصابة ببرمجيات Zeus وDridex، ووقفت خلف عمليات فدية بارزة مثل WastedLocker وHades وMacaw Locker وPhoenix CryptoLocker.
وصف محقق من مركز Europol لمكافحة الجرائم السيبرانية (EC3) العملية بأنها ضربة حاسمة ضد منظومة الـ droppers التي شكّلت نقطة الدخول الأساسية لعمليات الفدية التابعة لـ Evil Corp على مدار سنوات.
ماذا يجب على أصحاب مواقع WordPress فعله الآن؟
أوصت الشرطة الهولندية أصحاب المواقع المتأثرة باتخاذ إجراءات فورية لتأمين مواقعهم بعد إزالة البرمجيات الخبيثة والأبواب الخلفية. تشمل هذه التوصيات خطوات أساسية يجب على كل مدير موقع WordPress اتباعها.
- تغيير جميع بيانات الاعتماد فوراً
- تفعيل المصادقة متعددة العوامل (MFA)
- حذف أي حسابات WordPress غير معروفة
- تحديث WordPress والإضافات والقوالب باستمرار
- مراجعة سجلات الوصول للكشف عن أي نشاط مشبوه
أشار مايكل رولمان من وحدة مكافحة الجرائم التقنية العليا الهولندية إلى أن هذه الإجراءات تحرم المجرمين من الوصول إلى الأنظمة المصابة، مما يمنع المزيد من الضرر للأنظمة الرقمية للمواطنين والشركات والمؤسسات حول العالم، ويحدّ من انتشار البرمجيات الخبيثة.
سجل حافل لعملية Endgame في تفكيك الجريمة السيبرانية
لا تُعدّ هذه المرحلة الأولى من عملية Endgame، إذ سبقها في نوفمبر الماضي إسقاط أكثر من 1,000 خادم استخدمتها عمليات برمجيات Rhadamanthys وVenomRAT وElysium. كما استهدفت العملية سابقاً بنية تحتية للفدية، وعملاء وخوادم شبكة Smokeloader، وموقع AVCheck، وعمليات برمجية كبرى أخرى شملت DanaBot وIcedID وPikabot وTrickbot وBumblebee وSystemBC.
أكّد رولمان أن هذه العملية تُمثّل بداية لإجراءات إضافية ضد SocGholish، مما يُشير إلى استمرار الضغط الدولي على هذه المنظومة الإجرامية.
التحدي المستمر: بيانات الاعتماد المسرّبة
رغم نجاح العملية، تُشير التقديرات إلى أن نحو 1.4 مليون موقع لا يزال يمتلك بيانات اعتماد مسرّبة تجعله عرضة لإعادة الإصابة بـ SocGholish. هذا الواقع يُبرز التحدي طويل المدى الذي يواجهه المجتمع الأمني: العدوى التقنية يمكن معالجتها، لكن ضعف ممارسات إدارة كلمات المرور يظل ثغرة مستدامة.
رأي Logicity
تُمثّل هذه العملية نموذجاً للتعاون الدولي الفعّال في مواجهة الجريمة السيبرانية، لكنها تكشف أيضاً عن الطبيعة المتجددة للتهديد. بالنسبة للمؤسسات في منطقة الخليج التي تعتمد بشكل متزايد على WordPress لمواقعها المؤسسية والتجارية، فإن الدرس الأهم هو أن الأمان ليس حالة تُحقَّق مرة واحدة، بل عملية مستمرة تتطلب يقظة دائمة وتحديثاً منتظماً. المؤسسات التي تتعامل مع WordPress كمنصة 'نصّبها وانسها' تُعرّض نفسها لمخاطر جسيمة.
الأسئلة الشائعة
ما هي برمجية SocGholish وكيف تصيب المواقع؟
SocGholish هي برمجية خبيثة مبنية على JavaScript تخترق مواقع WordPress الشرعية وتعرض للزوار تحديثات مزيفة للمتصفح. عند تثبيت التحديث الوهمي، تفتح البرمجية قناة اتصال مع المهاجمين للسيطرة على الجهاز.
كيف أعرف إن كان موقعي مصاباً بـ SocGholish؟
راقب أي سلوك غير طبيعي مثل إعادة توجيه الزوار، أو ظهور نوافذ منبثقة للتحديث لم تُضفها أنت. استخدم أدوات فحص أمني متخصصة وراجع ملفات JavaScript في موقعك بحثاً عن أكواد مشبوهة.
هل تؤثر SocGholish على مواقع الخليج والشرق الأوسط؟
نعم، SocGholish تستهدف مواقع WordPress عالمياً دون تمييز جغرافي. أي موقع WordPress ضعيف الحماية أو يستخدم بيانات اعتماد مسرّبة يُعدّ هدفاً محتملاً.
ما الفرق بين Operation Endgame والعمليات الأمنية الأخرى؟
Operation Endgame هي أكبر عملية دولية منسّقة تستهدف تحديداً منظومة 'الـ droppers' — أي البرمجيات المسؤولة عن توصيل حمولات خبيثة متنوعة. تتميز بالتنسيق بين عدة دول وبالتركيز على قطع سلاسل العدوى من المصدر.
كيف أحمي موقع WordPress الخاص بي من SocGholish؟
حدّث WordPress والإضافات باستمرار، واستخدم كلمات مرور قوية وفريدة، وفعّل المصادقة متعددة العوامل، واستخدم جدار حماية لتطبيقات الويب (WAF)، وراقب موقعك بانتظام باستخدام أدوات فحص أمني.
هل تحتاج مساعدة في التطبيق؟
إن كنت تدير مواقع WordPress لمؤسستك وتحتاج إلى تقييم أمني شامل أو استراتيجية حماية متكاملة، تواصل مع فريق Logicity للحصول على استشارة متخصصة في الأمن السيبراني وحماية البنية التحتية الرقمية.
عمر حسن
كاتب تقني وابتكار
مقالات ذات صلة
تصفح الكل
OpenAI تختبر اشتراك ChatGPT للعلوم: هل يُغيّر قواعد البحث الأكاديمي؟
رصد مطوّرون سلاسل برمجية داخلية على واجهة الويب الخاصة بـ ChatGPT تُشير إلى فئة اشتراك جديدة تحمل اسم ChatGPT for Science، ما يؤكد أن OpenAI تتجه نحو تقسيم قاعدة مستخدميها إلى شرائح عمودية متخصصة بدلا
تسريب FortiBleed يكشف بيانات اعتماد 73 ألف جهاز Fortinet VPN حول العالم
كشف باحثون في الأمن السيبراني عن تسريب ضخم يحمل اسم FortiBleed، يتضمن بيانات اعتماد صالحة لأكثر من 73 ألف جهاز Fortinet VPN وجدران حماية FortiGate منتشرة في مؤسسات حول العالم. التسريب يُعدّ من أكبر عم
إضافات خبيثة على سوق JetBrains تسرق مفاتيح API الخاصة بالذكاء الاصطناعي من 70 ألف مطوّر
كشف باحثون أمنيون في شركة Aikido Security عن حملة منسّقة استهدفت مطوّري البرمجيات عبر 15 إضافة خبيثة على سوق JetBrains Marketplace، صُمِّمت خصيصاً لسرقة مفاتيح API الخاصة بخدمات الذكاء الاصطناعي مثل O
برمجية Rokarolla الخبيثة تستهدف 217 تطبيقاً مصرفياً ومحفظة عملات رقمية على أندرويد
كشف باحثون في شركة Zimperium للأمن السيبراني عن برمجية خبيثة جديدة تُدعى Rokarolla تستهدف مستخدمي أندرويد عبر 217 تطبيقاً مصرفياً ومحفظة عملات رقمية، مستخدمةً ترسانة ضخمة من 137 أمراً للتحكم الكامل با
اقرأ أيضاً
لوكان يتوقع انفجار فقاعة الذكاء الاصطناعي: OpenAI وAnthropic في مرمى التحذير
أطلق يان لوكان، مؤسس شركة AMI Labs والحائز على جائزة تورينغ، تحذيراً صريحاً من انفجار وشيك لفقاعة الذكاء الاصطناعي قد يطال عمالقة القطاع مثل OpenAI وAnthropic. في تصريحات لشبكة CNBC، أوضح لوكان أن هذه
جيل Z يعود إلى أجهزة iPod الكلاسيكية هرباً من سطوة الخوارزميات
في مفارقة لافتة تعكس تحولاً عميقاً في علاقة الشباب بالتكنولوجيا، يتجه جيل Z بأعداد متزايدة نحو اقتناء أجهزة iPod القديمة، ليس حنيناً للماضي فحسب، بل هرباً واعياً من سطوة الخوارزميات التي باتت تتحكم في
بروتوكول MCP يحصل على نظام تفويض مؤسسي عبر مواصفة Stytch-Cloudflare الجديدة
حصل بروتوكول MCP (Model Context Protocol) على دفعة قوية نحو الاعتماد المؤسسي، بعد إعلان شركتي Stytch وCloudflare عن مواصفة تفويض موحدة تُمكّن الوكلاء الذكيين من الوصول إلى موارد المؤسسات بطريقة آمنة و