مجموعة FamousSparrow الصينية تستهدف قطاع النفط والغاز: ثلاث موجات هجومية عبر Exchange Server

كشف فريق Bitdefender Labs عن حملة تجسس سيبراني متطورة نفّذتها مجموعة FamousSparrow المرتبطة بالصين، استهدفت شركة نفط وغاز في أذربيجان عبر ثلاث موجات هجومية متتالية امتدت من ديسمبر 2025 حتى فبراير 2026. الحملة استغلت خوادم Microsoft Exchange كنقطة دخول متكررة، ونشرت بابَين خلفيَّين مختلفَين: Deed RAT وTernDoor، مما يكشف عن مستوى عالٍ من الإصرار والتكيّف التكتيكي.

تفاصيل الهجوم: ثلاث موجات بتكتيكات متغيّرة

ما يميّز هذه الحملة هو العودة المتكررة لنفس نقطة الاختراق مع تبديل الأدوات في كل محاولة. في الموجة الأولى، نشر المهاجمون Deed RAT عبر تقنية DLL Sideloading متطورة تعتمد على استبدال دالّتَين مُصدَّرتَين في مكتبة خبيثة، مما يربط تنفيذ الحمولة بالتدفق الطبيعي للتطبيق المُضيف ويصعّب الاكتشاف. في الموجة الثانية، انتقل المهاجمون إلى نشر TernDoor كباب خلفي بديل بعد اكتشاف الأول. وفي الموجة الثالثة، عادوا إلى نسخة معدّلة من Deed RAT بآليات تهرّب محسّنة.

هذا النمط من الإصرار يُظهر أن المهاجمين لا يتخلّون عن أهدافهم بسهولة، بل يعيدون تقييم أدواتهم ويطوّرون تكتيكاتهم استجابةً لإجراءات الدفاع. خادم Exchange كان نقطة الدخول الثابتة في الموجات الثلاث، مما يؤكد أن خوادم البريد الإلكتروني المكشوفة تبقى الهدف المفضّل لمجموعات APT الحكومية.

من هي مجموعة FamousSparrow؟

FamousSparrow مجموعة تهديد متقدم مستمر (APT) مرتبطة بالصين، تتداخل مع منظومة Earth Estries وفقاً لتصنيف Trend Micro. تاريخياً، استهدفت المجموعة قطاعات الضيافة والحكومات والمنظمات الدولية، لكن هذه الحملة توسّع نطاق ضحاياها بشكل ملحوظ نحو قطاع الطاقة. التوقيت ليس عشوائياً: دور أذربيجان في أمن الطاقة الأوروبي تصاعد بعد انتهاء اتفاقية عبور الغاز الروسي عبر أوكرانيا في 2024 واضطرابات مضيق هرمز في 2026، مما جعل البنية التحتية للطاقة في المنطقة هدفاً استراتيجياً للتجسس.

التأثير المباشر على قطاع الطاقة والبنية التحتية السعودية

المملكة العربية السعودية، باعتبارها أكبر مصدّر للنفط في العالم، تواجه تهديداً مماثلاً ومتصاعداً من مجموعات APT الحكومية التي تستهدف قطاع الطاقة. هذه الحملة تُذكّر بهجمات Shamoon التي ضربت Saudi Aramco في 2012 و2016، وتؤكد أن التهديد لم يتراجع بل تطوّر. الإطار التنظيمي للهيئة الوطنية للأمن السيبراني NCA ECC يُلزم المؤسسات المشغّلة للبنية التحتية الحرجة بتطبيق ضوابط صارمة لحماية الأنظمة المكشوفة على الإنترنت، وعلى رأسها خوادم البريد الإلكتروني.

كذلك، تتطلب ضوابط SAMA CSCC من المؤسسات المالية المرتبطة بقطاع الطاقة عبر سلاسل التوريد تقييم المخاطر السيبرانية لشركائها التجاريين، خاصة في القطاعات الحيوية. اختراق شركة طاقة واحدة قد يمتد أثره إلى المؤسسات المالية التي تتعامل معها عبر بوابات الدفع والأنظمة المشتركة.

لماذا يبقى Exchange Server الحلقة الأضعف؟

رغم التحذيرات المتكررة من CISA وMicrosoft، لا تزال خوادم Exchange المحلية (On-Premise) تمثّل سطح هجوم واسعاً. سلسلة ثغرات ProxyLogon وProxyShell في 2021 لم تكن نهاية القصة، بل بداية حقبة من الاستغلال المتواصل. المهاجمون يعرفون أن كثيراً من المؤسسات تؤخّر التحديثات أو تحتفظ بخوادم Exchange قديمة لأسباب تتعلق بالتوافقية. في هذه الحملة، استغل FamousSparrow نفس نقطة الدخول ثلاث مرات خلال شهرين، مما يعني أن الضحية لم ينجح في إغلاق الثغرة بشكل كامل حتى بعد اكتشاف الاختراق الأول.

التوصيات والخطوات العملية

1. تدقيق فوري لخوادم Exchange: إجراء مسح شامل لجميع خوادم Exchange المحلية والتأكد من تطبيق آخر التحديثات الأمنية، مع التحقق من عدم وجود Web Shells أو حسابات مشبوهة أُنشئت بعد الاختراق.
2. تطبيق مبدأ Zero Trust على خوادم البريد: عزل خوادم Exchange عن الشبكة الداخلية الحساسة، وتقييد الوصول الإداري عبر شبكة إدارة منفصلة مع MFA إلزامي.
3. مراقبة DLL Sideloading: نشر قواعد YARA وSigma للكشف عن محاولات تحميل مكتبات DLL خبيثة عبر تطبيقات شرعية، خاصة في مسارات النظام غير المعتادة.
4. البحث الاستباقي عن مؤشرات الاختراق (IoCs): فحص سجلات الشبكة بحثاً عن اتصالات C2 مرتبطة بـ Deed RAT وTernDoor، والتحقق من مؤشرات الاختراق التي نشرتها Bitdefender في تقريرها التفصيلي.
5. تقييم مخاطر سلسلة التوريد: وفقاً لمتطلبات NCA ECC وSAMA CSCC، تقييم الوضع الأمني للشركاء في قطاع الطاقة والقطاعات الحيوية المرتبطة بالمؤسسة.
6. خطة استجابة مخصصة لهجمات APT: تطوير إجراءات استجابة تأخذ بعين الاعتبار أن المهاجمين سيعودون بعد الاكتشاف الأول، وتتضمن عمليات مسح متكررة بعد كل حادثة لمدة لا تقل عن 90 يوماً.

الخلاصة

حملة FamousSparrow على قطاع الطاقة ليست حادثة معزولة، بل نموذج لما تواجهه البنية التحتية الحرجة في المنطقة من تهديدات مستمرة ومتطورة. المهاجمون يعودون، يبدّلون أدواتهم، ويستغلون كل ثغرة لم تُغلق. الدرس الأهم: الاكتشاف وحده لا يكفي، بل يجب أن يُتبع بإغلاق كامل لنقطة الدخول وعملية Threat Hunting مستمرة تفترض أن المهاجم لا يزال داخل الشبكة.

هل بنيتك التحتية الحرجة محصّنة ضد هجمات APT المتعددة الموجات؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق ضوابط NCA ECC وSAMA CSCC.