لمحة موجزة عن أهم الأحداث في عالم أمن المعلومات لهذا الأسبوع.
تبين أن الأسبوع المنتهية ولايته كان ثريًا للغاية في مجموعة متنوعة من الأحداث في عالم أمن المعلومات ، من أكبر عملية سرقة في تاريخ العملات المشفرة إلى اختراق آلاف صفحات Facebook باستخدام Android Trojan. اقرأ عن هذه الأحداث وغيرها في عالم أمن المعلومات للفترة من 7 إلى 13 أغسطس 2021 في مراجعتنا.
بعد يومين فقط من الكشف عن ثغرة أمنية "يحتمل أن تؤثر على الملايين من أجهزة التوجيه المنزلية" ، اكتشفت شركة Juniper Threat Labs دليلًا على أنه تم بالفعل استغلالها بنشاط في هجمات القراصنة. في 3 أغسطس 2021 ، نشر باحث في شركة أمن المعلومات Tenable Evan Grant تفاصيل حول العديد من نقاط الضعف في أجهزة التوجيه من عدد من مشغلي الاتصالات ، بما في ذلك Verizon و O2 ، وبعد يومين فقط ، اكتشف متخصصو Juniper Threat Labs أن أحدهم ( CVE-2021-20090 ) بدأ استغلاله من قبل المتسللين.
كما قام مجرمو الإنترنت بتسليح أنفسهم بنقاط ضعف PrintNightmare سيئة السمعة وهم الآن يهاجمون خوادم Windows لنشر Magniber ransomware. PrintNightmare هي فئة من نقاط الضعف ( CVE-2021-1675 و CVE-2021-34527 و CVE-2021-36958 ) في Windows Print Spooler وبرامج تشغيل Windows ووظيفة Windows Point and Print. وجد باحثو CrowdStrike أن مشغلي Magniber الفدية يستغلون الآن ثغرات PrintNightmare في الهجمات على الضحايا في كوريا الجنوبية.
يقوم مجرمو الإنترنت بفحص الإنترنت بشكل نشط بحثًا عن عمليات التثبيت المتاحة لـ Microsoft Exchange مع وجود ثغرات أمنية غير مسبوقة في ProxyShell. بدأت عمليات المسح بعد تقديم تفاصيل جديدة حول نقاط الضعف الأسبوع الماضي في مؤتمر بلاك هات في لاس فيجاس.
خلال الفترة المشمولة بالتقرير ، ظهرت العديد من تقارير الروبوتات دفعة واحدة. وهكذا ، أعلن خبراء من Splunk عن استئناف نشاط مشغلي شبكات الروبوتات المشفرة. يهاجم مجرمو الإنترنت خوادم Windows Server الافتراضية داخل Amazon Web Services مع تمكين بروتوكول سطح المكتب البعيد (RDP). بعد اكتشاف الأجهزة الافتراضية المعرضة للخطر ، ينفذ المهاجمون هجوم القوة الغاشمة. في حالة نجاحها ، يقوم المتسللون بتثبيت أدوات لتعدين عملة Monero المشفرة.
أبلغ باحثو الأمن السيبراني في Uptycs عن حملة خبيثة يستخدم فيها المتسللون دودة مكتوبة بلغة Golang لتثبيت برنامج تشفير على أجهزة الضحايا. يقوم Cryptominer بتعديل تكوينات وحدة المعالجة المركزية على خوادم Linux المخترقة لتحسين كفاءة وأداء كود تعدين العملات المشفرة. وفقًا للخبراء ، هذه هي المرة الأولى التي يغير فيها المهاجمون السجلات الخاصة بالطراز (MSR) للمعالج لتعطيل وظيفة الجلب المسبق للأجهزة في وحدة المعالجة المركزية.
نبهت شركة Synology المصنعة لل NAS التايوانية العملاء إلى حملة خبيثة يهاجم فيها مشغلو شبكات الروبوتات StealthWorker أجهزة NAS ويصيبونها ببرامج الفدية. وفقًا لفريق الاستجابة لحوادث أمان المنتج (PSIRT) التابع لشركة Synology ، يتم استخدام أجهزة Synology NAS التي تعرضت للاختراق من خلال هذه الهجمات في محاولات أخرى للتغلب على أنظمة Linux الأخرى.
حذرت مايكروسوفت من عدة حملات خبيثة في وقت واحد. على وجه الخصوص ، تحدثت عن حملة تصيد خبيثة وقع العديد من مستخدمي Microsoft Office 365 ضحية لها.وفقًا للخبراء ، بدأت العديد من الهجمات في يوليو 2020. في حملة التصيد الاحتيالي المستمرة ، يشجع المهاجمون الضحايا على نقل بيانات اعتماد Office 365 الخاصة بهم باستخدام مرفقات XLS.HTML.
أعلن فريق Microsoft Security Intelligence أيضًا عن حملة BazaCall ضارة جديدة. تستخدم الحملة رسائل بريد إلكتروني وملفات ضارة مزيفة تحتوي على "صور مسروقة". بهذه الطريقة ، يحاول المحتالون خداع المستخدمين لتنزيل برامج ضارة.
كان الهجوم على منصة Poly Network عبر الوطنية من أكثر الأحداث شهرة في الأسبوع . نتيجة للهجوم ، تمكن متسلل مجهول من تحويل أكثر من 600 مليون دولار من العملات المشفرة إلى محافظهم ، مما يجعلها أكبر عملية سطو في تاريخ العملات المشفرة. ومع ذلك ، بعد ذلك بوقت قصير ، بدأ شخص ما تحت الاسم المستعار "السيد وايت هات" في استعادة الأصول المسروقة. ذكر المخترق أن هدفه كان إظهار الثغرة الأمنية في شبكة Poly ، وسيعيد جميع الأموال المسروقة.
هاجم المتسللون منصة التمويل الجماعي DAO Maker وسحبوا منها 7 ملايين دولار من العملات المستقرة من USDC. أبلغ ممثلو منصة DAO Maker على قناة Telegram الخاصة بهم أن الهجوم أثر فقط على عقد الحضانة الذكي. أكد ممثلو DAO Maker أن رموز DAO وأصول Staking لم تتأثر بالمهاجمين.
تقليديا ، لم يكن بدون هجمات فدية إلكترونية. كان من أشهر هذه الهجمات الهجوم على شركة الاستشارات المدرجة في قائمة Fortune 500 Accenture ، حيث وقعت الشركة ضحية لهجوم باستخدام برنامج الفدية LockBit.
الشركة المعروفة من اللوحات الرئيسية وكروت الجرافيك ومكونات الكمبيوتر الأخرى، جيجابايت كما تم هاجم عشار. ذكرت مجموعة المتسللين RansomExx أنها تمكنت خلال الهجوم من سرقة 112 غيغابايت من البيانات. يهدد المهاجمون بوضعهم على الإنترنت إذا رفضت جيجابايت الدفع لهم.
وقد الكمبيوتر لعبة المطور والناشر CRYTEK أكد أنه سقط ضحية لEgregor الفدية في اكتوبر تشرين الاول عام 2020. قام المتسللون بتشفير أنظمة الشركة ، وسرقة الملفات ببيانات العملاء السرية ونشرها على موقع تسريبات الشبكة المظلمة. أرسلت Crytek الإشعارات ذات الصلة للمستخدمين المتأثرين فقط في أغسطس 2021.
وانتزاع الفدية eCh0raix تلقت وظيفة التشفير من QNAP وSynology شبكة المرفقة التخزين (NAS). تم اكتشاف البرنامج الضار ECh0raix ، المعروف أيضًا باسم QNAPCrypt ، لأول مرة في يونيو 2016. هاجمت برامج الفدية أجهزة QNAP NAS في موجات. حدثت "الموجة" الأولى في يونيو 2019 ، والثانية في يونيو 2020. في عام 2019 ، قامت eCh0raix أيضًا بتشفير الأجهزة المصنعة بواسطة Synology ، حيث تم اختراقها مسبقًا باستخدام القوة الغاشمة. تتوفر الآن فيروسات الفدية وظيفة تشفير لكلتا عائلتَي الجهازين.
على منتدى القراصنة تم نشره مفتاح عالمي غامض لفك تشفير الملفات المشفرة بواسطة برنامج الفدية REvil أثناء هجوم على عملاء Kaseya. تذكر أنه في 2 يوليو من هذا العام ، هاجمت مجموعة REvil مزودي الخدمة المدارة حول العالم من خلال ثغرة يوم الصفر في تطبيق التحكم عن بعد Kaseya VSA. بعد الهجوم ، طلب برنامج الفدية 70 مليون دولار لأداة عالمية من شأنها استعادة الملفات المشفرة لجميع عملاء Kaseya. ومع ذلك ، لم تعد مجموعة REvil موجودة بشكل غامض ، وتم إيقاف محافظها وجميع البنية التحتية الخاصة بها. في 22 يوليو ، تلقت Kaseya فك تشفير عالمي من "طرف ثالث" غامض وبدأت في توزيعه على عملائها. هذا الأسبوع ، تم نشر مفتاح رئيسي غامض على أحد منتديات الهاكرز.
تم نشر المفتاح الرئيسي للمستخدمين الذين وقعوا ضحاياهم بين يوليو 2017 وأوائل عام 2021 بواسطة مجموعة برامج الفدية El_Cometa ، المعروفة سابقًا باسم SynAck. كما قال ممثلو SynAck ، قرروا إصدار مفتاح رئيسي لاستعادة الملفات المشفرة بواسطة برنامج الفدية أثناء العمليات القديمة ، حيث يعتزمون التركيز على ملفات جديدة. لذلك ، في نهاية الشهر الماضي ، بدأت المجموعة عمليات جديدة تسمى El_Cometa.
لا يخلو من البيانات المتسربة خلال الأسبوع. وهكذا، فإن قراصنة المهيبة للمستندات بيع سر وزارة الشؤون الخارجية في ليتوانيا. سرق المهاجمون مراسلات وزارة الخارجية مع سفارات جمهورية البلطيق في الخارج وسفارات الدول الأخرى في ليتوانيا. التحقيق جار في هذه الحقيقة.
تحقق المفوضية الأوروبية في قرصنة مشروع أطلس الأمن السيبراني بعد عرض نسخة من قاعدة البيانات الداخلية للمورد للبيع في منتدى تحت الأرض. عرض مهاجم مجهول البيانات المسروقة للبيع في منتدى سري ، مدعيا أنه تمكن من الوصول إلى قاعدة بيانات أطلس الأمن السيبراني بأكملها. يعتزم البائع إتمام الصفقة من خلال تطبيق Discord messenger.
هاجمت مجموعة إجرامية إلكترونية صينية منظمات إسرائيلية في حملة خبيثة انطلقت في يناير 2019. غالبًا ما استخدم المتسللون أعلامًا مزيفة في محاولة للتنكر في صورة مجرمين إيرانيين. وفقًا لخبراء من شركة Mandiant لأمن المعلومات ، استهدفت الهجمات وكالات الحكومة الإسرائيلية وشركات تكنولوجيا المعلومات ومقدمي خدمات الاتصالات. المهاجمون ، الذين يتم تعقبهم تحت الاسم الرمزي UNC215 ، قاموا بشكل روتيني باختراق المؤسسات من خلال خوادم Microsoft SharePoint التي تحتوي على الثغرة الأمنية CVE-2019-0604 .
هذا الأسبوع ، تعرض مستخدمو الشبكات الاجتماعية والمراسلون للهجوم من قبل البرامج الضارة. على سبيل المثال ، يتم توزيع البرامج الضارة FatalRAT في Telegram messenger . لا يسرق حصان طروادة للوصول عن بُعد FatalRAT البيانات من الروس فحسب ، بل يؤثر أيضًا على نظام الأمان للجهاز المثبت عليه برنامج المراسلة. ينفذ البرنامج الخبيث الهجمات عن بعد وينتشر داخل القنوات والمحادثات.
اكتشف متخصصون في شركة أمن المعلومات Zimperium حملة خبيثة جديدة تستهدف مستخدمي Android. تستخدم الحملة برنامج FlyTrap الخبيث لاختراق حسابات Facebook عن طريق سرقة ملفات تعريف الارتباط الخاصة بالجلسة. أكثر من 10 آلاف مستخدم في 140 دولة حول العالم أصبحوا ضحايا البرمجيات الخبيثة.
0 تعليقات