كاسبرسكي تكشف أبرز الممارسات الأمنية لحماية المؤسسات من هجمات التجسس
ورغم محدودية نشاط مصدر التهديد في جنوب القارة الأفريقية، يوضّح هذا الحادث استهداف المهاجمين لخدمات تكنولوجيا المعلومات الحكومية في إحدى دول المنطقة، سعياً لسرقة معلومات مؤسسية حساسة – بما فيها معلومات الدخول والوثائق الداخلية والكود المصدري والاتصالات.
مجموعات التهديدات المتقدمة المستمرة (APT) هي فئة من مصادر التهديد التي تتميز بشن هجمات مدروسة وخفية ومتواصلة على مؤسسات محددة، خلافاً للحوادث الانتهازية والمنفردة التي تمثل غالبية أنشطة الجرائم السيبرانية.
وساهم أسلوب الهجوم الذي تم رصده في جنوب القارة الأفريقية في تمكين
سعى المهاجمون لجمع معلومات حساسة من الأجهزة التي تمكنوا من اختراقها في شبكة المؤسسة. ومن الجدير بالذكر أن نشاط مجموعة APT41 في جنوب القارة الأفريقية عادةً ما يكون محدوداً.
تركز المجموعة على التجسس السيبراني مستهدفة مؤسسات في عدة قطاعات، تشمل مقدمي خدمات الاتصالات، والمؤسسات التعليمية والصحية، وقطاعات تكنولوجيا المعلومات، والطاقة وغيرها، حيث رُصد نشاطها في ما لا يقل عن 42 دولة.
بناءً على تحليل خبراء كاسبرسكي، يُحتمل أن المهاجمين وصلوا إلى شبكة المؤسسة من خلال خادم ويب مكشوف للإنترنت. وباستخدام أسلوب جمع بيانات الاعتماد – المعروف تقنياً باسم تفريغ السجل (Registry Dumping) – استولى المهاجمون على حسابين في نطاق المؤسسة: الأول لديه صلاحيات إدارة محلية على كل أجهزة العمل، والثاني خاص بنظام النسخ الاحتياطي ويتمتع بصلاحيات إدارة النطاق. أتاحت هذه الحسابات للمهاجمين اختراق المزيد من الأنظمة داخل المؤسسة.
وكانت إحدى أدوات السرقة المستخدمة لجمع البيانات هي نسخة معدلة من أداة Pillager، المصممة لتصدير البيانات وفك تشفيرها. حيث قاموا بتحويل كودها من ملف قابل للتنفيذ إلى مكتبة ارتباط ديناميكي (DLL). واستهدفوا من خلالها جمع بيانات الدخول المخزنة في المتصفحات وقواعد البيانات والأدوات الإدارية، بالإضافة إلى الكود المصدري للمشاريع، ولقطات الشاشة، وجلسات المحادثة النشطة وبياناتها، ومراسلات البريد الإلكتروني، وقوائم البرمجيات المثبتة، وبيانات دخول نظام التشغيل، وبيانات دخول شبكة الواي فاي، ومعلومات أخرى.
أما برنامج السرقة الثاني المستخدم في الهجوم فكان يحمل اسم؛ Checkout. فبجانب معلومات الدخول المخزنة وسجل المتصفح، كان بإمكانه أيضاً جمع معلومات عن الملفات المحملة، وبيانات البطاقات الائتمانية المخزنة في المتصفح. كما استعان المهاجمون بأداة RawCopy ونسخة من Mimikatz تم تجميعها كمكتبة ارتباط ديناميكي (DLL) لاستخراج ملفات السجل وبيانات الدخول، مع استخدام Cobalt Strike للاتصال بخوادم قيادة التحكم (C2) على الأجهزة المخترقة.
يوضح دينيس كوليك، كبير محللي مركز العمليات الأمنية في خدمة الكشف والاستجابة المدارة لدى كاسبرسكي: «من اللافت أن المهاجمين اختاروا خادم SharePoint داخل البنية التحتية للضحية كإحدى قنوات التحكم والسيطرة (C2) إلى جانب Cobalt Strike. وتواصلوا معه باستخدام وكلاء C2 مخصصين مرتبطين بواجهة ويب خفية. ربما اختاروا SharePoint لأنه خدمة داخلية موجودة بالفعل في البنية التحتية ومن المستبعد أن تثير الشكوك. بالإضافة لذلك، في تلك الحالة، ربما وفرت أسهل وسيلة لتسريب البيانات والتحكم بالأجهزة المخترقة عبر قناة اتصال مشروعة.»
ويضيف دينيس كوليك: «عموماً، لا يمكن صد مثل هذه الهجمات المعقدة بدون خبرة متكاملة ورصد متواصل لكامل البنية التحتية. من المهم الحفاظ على تغطية أمنية شاملة لجميع الأنظمة باستخدام حلول تستطيع منع النشاطات الخبيثة آلياً في مراحلها الأولى – وتجنب إعطاء حسابات المستخدمين صلاحيات تزيد عن الحاجة».
للحد من هذه الهجمات أو تفاديها، تُعتبر الممارسات التالية من بين الأفضل التي يُنصح بها للمؤسسات:
أبرز الممارسات الأمنية لحماية المؤسسات من هجمات التجسس على النحو التالي:
● التأكد من تثبيت برامج الحماية الأمنية على كافة أجهزة العمل في المؤسسة بدون استثناء، مما يتيح اكتشاف الحوادث في الوقت المناسب وتقليل الأضرار المحتملة.
● مراجعة وضبط صلاحيات حسابات الخدمات والمستخدمين، مع تجنب منح صلاحيات غير ضرورية – خاصة للحسابات المستخدمة عبر أجهزة متعددة داخل البنية التحتية.
● لحماية الشركة من نطاق واسع من التهديدات، استخدم حلول خط منتجات Kaspersky Next التي تقدم حماية فورية، ورصد للتهديدات، وقدرات التحقيق والاستجابة لكل من حلول الاكتشاف والاستجابة للنقاط الطرفية (EDR) وحلول الاكتشاف والاستجابة الموسعة (XDR) للمؤسسات من مختلف الأحجام والقطاعات. وحسب احتياجاتك الراهنة ومواردك المتاحة، يمكنك اختيار المستوى الأنسب من المنتج والترقية بسلاسة إلى مستوى آخر عند تغير متطلبات
● تبني خدمات الأمن المُدارة من
● منح خبراء
جرب ميزات الذكاء الاصطناعي لدينا
اكتشف ما يمكن أن يفعله Daily8 AI من أجلك:
التعليقات
لا يوجد تعليقات بعد...
أخبار ذات صلة
الدولة الاخبارية
منذ 2 أيام
- الدولة الاخبارية
كاسبرسكي: هجمات سيبرانية تستغل معلومات من GitHub وQuora لاستهداف المؤسسات
الإثنين، 4 أغسطس 2025 08:27 مـ بتوقيت القاهرة رصدت كاسبرسكي تسلسل هجوم معقد شمل الحصول على معلومات من خدمات شرعية مثل GitHub ، وMicrosoft Learn Challenge، وQuora، والشبكات الاجتماعية. وقد قام المهاجمون بذلك لتفادي الاكتشاف وتشغيل سلسلة تنفيذ تؤدي إلى إطلاق أداة Cobalt Strike Beacon ، وهي أداة للتحكم عن بعد في أجهزة الحاسوب، وتنفيذ الأوامر، وسرقة البيانات، والحفاظ على وصول دائم داخل الشبكة. تم اكتشاف هذه الهجمات في النصف الثاني من عام 2024 لدى مؤسسات في الصين، واليابان، وماليزيا، وبيرو، وروسيا، واستمرت خلال عام 2025. وكان معظم الضحايا من الشركات المتوسطة إلى الكبيرة. لاختراق أجهزة الضحايا، أرسل المهاجمون رسائل تصيد موجهة متنكرة في شكل اتصالات شرعية من شركات حكومية كبرى، خاصة في قطاع النفط والغاز، وصيغ نص الرسالة ليبدو كما لو أن هناك اهتماماً بمنتجات وخدمات المؤسسة المستهدفة، وذلك لإقناع المستلم بفتح المرفق الخبيث. وكان المرفق عبارة عن أرشيف يحتوي على ما يبدو أنها ملفات PDF تتضمن متطلبات للمنتجات والخدمات المطلوبة – لكنها كانت في الواقع ملفات EXE و DLL قابلة للتنفيذ وتحتوي على برمجيات خبيثة. استغل المهاجمون تقنيات DLLواستغلوا أداة الإرسال الخاصة بالتقارير الانهيارية Crash reporting Send Utility، وهي أداة شرعية صممت في الأصل لمساعدة المطورين في الحصول على تقارير تفصيلية وفورية حول الأعطال في تطبيقاتهم. ولكي تعمل البرمجية الخبيثة، تم أيضاً استرجاع وتحميل كود مخزن داخل ملفات تعريف علنية على منصات شرعية شهيرة، وذلك لتجنب الاكتشاف. وقد وجدت كاسبرسكي هذا الكود مشفراً داخل ملفات تعريف على GitHub، وروابط (أيضاً مشفرة) – في ملفات تعريف أخرى على GitHub، وMicrosoft Learn Challenge، ومواقع أسئلة وأجوبة، وحتى منصات التواصل الاجتماعي الروسية. وقد أُنشئت جميع هذه الملفات والصفحات خصيصاً لهذا الهجوم. بعد تنفيذ الكود الخبيث على أجهزة الضحايا، تم إطلاق Cobalt Strike Beacon، وتم اختراق أنظمة الضحايا. كما علّق ماكسيم ستارودوبوف، قائد فريق محللي البرمجيات الخبيثة لدى كاسبرسكي قائلاً: "رغم أننا لم نعثر على أي دليل على استخدام المهاجمين لحسابات حقيقية على وسائل التواصل الاجتماعي، حيث تم إنشاء جميع الحسابات خصيصاً لهذا الهجوم، إلا أنه لا يوجد ما يمنع الجهات المهاجمة من إساءة استخدام آليات مختلفة توفرها هذه المنصات. على سبيل المثال، يمكن نشر سلاسل محتوى خبيثة في التعليقات على منشورات مستخدمين شرعيين. يستخدم المهاجمون طرقاً تزداد تعقيداً لإخفاء أدوات معروفة منذ زمن، ومن المهم البقاء على اطلاع دائم بأحدث معلومات التهديدات للحماية من مثل هذه الهجمات" طريقة استرجاع عنوان تحميل الكود الخبيث مشابهة لتلك التي لوحظت في حملة EastWind المرتبطة بجهات ناطقة بالصينية. توصيات كاسبرسكي لحماية المؤسسات: مراقبة بنية المؤسسة الرقمية باستمرار وتتبع حالة الشبكة الأمنية المحيطة. استخدام حلول أمنية موثوقة لكشف ومجاراة البرمجيات الخبيثة المخفية ضمن رسائل البريد الجماعي. تدريب الموظفين لنشر التوعية الأمنية وتقليل مخاطر الأخطاء البشرية. تأمين الأجهزة المؤسسية عبر نظام شامل لاكتشاف وصد الهجمات في مراحلها المبكرة.
النهار المصرية
منذ 3 أيام
- النهار المصرية
هجمات سيبرانية تستغل معلومات من GitHub وQuora لاستهداف المؤسسات
رصدت كاسبرسكي تسلسل هجوم معقد شمل الحصول على معلومات من خدمات شرعية مثل GitHub ، وMicrosoft Learn Challenge، وQuora، والشبكات الاجتماعية. وقد قام المهاجمون بذلك لتفادي الاكتشاف وتشغيل سلسلة تنفيذ تؤدي إلى إطلاق أداة Cobalt Strike Beacon ، وهي أداة للتحكم عن بعد في أجهزة الحاسوب، وتنفيذ الأوامر، وسرقة البيانات، والحفاظ على وصول دائم داخل الشبكة. تم اكتشاف هذه الهجمات في النصف الثاني من عام 2024 لدى مؤسسات في الصين، واليابان، وماليزيا، وبيرو، وروسيا، واستمرت خلال عام 2025. وكان معظم الضحايا من الشركات المتوسطة إلى الكبيرة. لاختراق أجهزة الضحايا، أرسل المهاجمون رسائل تصيد موجهة متنكرة في شكل اتصالات شرعية من شركات حكومية كبرى، خاصة في قطاع النفط والغاز. وصيغ نص الرسالة ليبدو كما لو أن هناك اهتماماً بمنتجات وخدمات المؤسسة المستهدفة، وذلك لإقناع المستلم بفتح المرفق الخبيث. وكان المرفق عبارة عن أرشيف يحتوي على ما يبدو أنها ملفات PDF تتضمن متطلبات للمنتجات والخدمات المطلوبة – لكنها كانت في الواقع ملفات EXE و DLL قابلة للتنفيذ وتحتوي على برمجيات خبيثة. استغل المهاجمون تقنيات DLLواستغلوا أداة الإرسال الخاصة بالتقارير الانهيارية Crash reporting Send Utility، وهي أداة شرعية صممت في الأصل لمساعدة المطورين في الحصول على تقارير تفصيلية وفورية حول الأعطال في تطبيقاتهم. ولكي تعمل البرمجية الخبيثة، تم أيضاً استرجاع وتحميل كود مخزن داخل ملفات تعريف علنية على منصات شرعية شهيرة، وذلك لتجنب الاكتشاف. وقد وجدت كاسبرسكي هذا الكود مشفراً داخل ملفات تعريف على GitHub، وروابط (أيضاً مشفرة) – في ملفات تعريف أخرى على GitHub، وMicrosoft Learn Challenge، ومواقع أسئلة وأجوبة، وحتى منصات التواصل الاجتماعي الروسية. وقد أُنشئت جميع هذه الملفات والصفحات خصيصاً لهذا الهجوم. بعد تنفيذ الكود الخبيث على أجهزة الضحايا، تم إطلاق Cobalt Strike Beacon، وتم اختراق أنظمة الضحايا. ملفات تعريف على منصات شهيرة على الإنترنت تحتوي على كود خبيث كما علّق ماكسيم ستارودوبوف، قائد فريق محللي البرمجيات الخبيثة لدى كاسبرسكي قائلاً: "رغم أننا لم نعثر على أي دليل على استخدام المهاجمين لحسابات حقيقية على وسائل التواصل الاجتماعي، حيث تم إنشاء جميع الحسابات خصيصاً لهذا الهجوم، إلا أنه لا يوجد ما يمنع الجهات المهاجمة من إساءة استخدام آليات مختلفة توفرها هذه المنصات. على سبيل المثال، يمكن نشر سلاسل محتوى خبيثة في التعليقات على منشورات مستخدمين شرعيين. يستخدم المهاجمون طرقاً تزداد تعقيداً لإخفاء أدوات معروفة منذ زمن، ومن المهم البقاء على اطلاع دائم بأحدث معلومات التهديدات للحماية من مثل هذه الهجمات" طريقة استرجاع عنوان تحميل الكود الخبيث مشابهة لتلك التي لوحظت في حملة EastWind المرتبطة بجهات ناطقة بالصينية. توصيات كاسبرسكي لحماية المؤسسات: • مراقبة بنية المؤسسة الرقمية باستمرار وتتبع حالة الشبكة الأمنية المحيطة. • استخدام حلول أمنية موثوقة لكشف ومجاراة البرمجيات الخبيثة المخفية ضمن رسائل البريد الجماعي. • تدريب الموظفين لنشر التوعية الأمنية وتقليل مخاطر الأخطاء البشرية. • تأمين الأجهزة المؤسسية عبر نظام شامل مثل Kaspersky Next لاكتشاف وصد الهجمات في مراحلها المبكرة.
فيتو
منذ 3 أيام
- فيتو
خبراء يكشفون عن هجمات سيبرانية تستغل معلومات من GitHub وQuora لاستهداف المؤسسات
رصد خبراء بأمن المعلومات تسلسل هجوم معقد شمل الحصول على معلومات من خدمات شرعية مثل GitHub، وMicrosoft Learn Challenge، وQuora، والشبكات الاجتماعية. التحكم عن بعد فى أجهزة الحاسوب وقد قام المهاجمون بذلك لتفادي الاكتشاف وتشغيل سلسلة تنفيذ تؤدي إلى إطلاق أداة Cobalt Strike Beacon، وهي أداة للتحكم عن بعد في أجهزة الحاسوب، وتنفيذ الأوامر، وسرقة البيانات، والحفاظ على وصول دائم داخل الشبكة. تم اكتشاف هذه الهجمات في النصف الثاني من عام 2024 لدى مؤسسات في الصين، واليابان، وماليزيا، وبيرو، وروسيا، واستمرت خلال عام 2025. وكان معظم الضحايا من الشركات المتوسطة إلى الكبيرة. لاختراق أجهزة الضحايا، أرسل المهاجمون رسائل تصيد موجهة متنكرة في شكل اتصالات شرعية من شركات حكومية كبرى، خاصة في قطاع النفط والغاز. وصيغ نص الرسالة ليبدو كما لو أن هناك اهتمامًا بمنتجات وخدمات المؤسسة المستهدفة، وذلك لإقناع المستلم بفتح المرفق الخبيث. وكان المرفق عبارة عن أرشيف يحتوي على ما يبدو أنها ملفات PDF تتضمن متطلبات للمنتجات والخدمات المطلوبة، لكنها كانت في الواقع ملفات EXE وDLL قابلة للتنفيذ وتحتوي على برمجيات خبيثة. استغل المهاجمون تقنيات DLL واستغلوا أداة الإرسال الخاصة بالتقارير الانهيارية Crash reporting Send Utility، وهي أداة شرعية صممت في الأصل لمساعدة المطورين في الحصول على تقارير تفصيلية وفورية حول الأعطال في تطبيقاتهم. ولكي تعمل البرمجية الخبيثة، تم أيضًا استرجاع وتحميل كود مخزن داخل ملفات تعريف علنية على منصات شرعية شهيرة، وذلك لتجنب الاكتشاف. وقد وجدت كاسبرسكي هذا الكود مشفرًا داخل ملفات تعريف على GitHub، وروابط (أيضًا مشفرة) – في ملفات تعريف أخرى على GitHub، وMicrosoft Learn Challenge، ومواقع أسئلة وأجوبة، وحتى منصات التواصل الاجتماعي الروسية. وقد أُنشئت جميع هذه الملفات والصفحات خصيصًا لهذا الهجوم. بعد تنفيذ الكود الخبيث على أجهزة الضحايا، تم إطلاق Cobalt Strike Beacon، وتم اختراق أنظمة الضحايا كما علّق ماكسيم ستارودوبوف، قائد فريق محللي البرمجيات الخبيثة لدى كاسبرسكي قائلًا إنه رغم أننا لم نعثر على أي دليل على استخدام المهاجمين لحسابات حقيقية على وسائل التواصل الاجتماعي، حيث تم إنشاء جميع الحسابات خصيصًا لهذا الهجوم، إلا أنه لا يوجد ما يمنع الجهات المهاجمة من إساءة استخدام آليات مختلفة توفرها هذه المنصات. سلاسل محتوى خبيثة على سبيل المثال، يمكن نشر سلاسل محتوى خبيثة في التعليقات على منشورات مستخدمين شرعيين. يستخدم المهاجمون طرقًا تزداد تعقيدًا لإخفاء أدوات معروفة منذ زمن، ومن المهم البقاء على اطلاع دائم بأحدث معلومات التهديدات للحماية من مثل هذه الهجمات. ونقدم لكم من خلال موقع (فيتو)، تغطية ورصدًا مستمرًّا على مدار الـ 24 ساعة لـ أسعار الذهب، أسعار اللحوم ، أسعار الدولار ، أسعار اليورو ، أسعار العملات ، أخبار الرياضة ، أخبار مصر، أخبار اقتصاد ، أخبار المحافظات ، أخبار السياسة، أخبار الحوداث ، ويقوم فريقنا بمتابعة حصرية لجميع الدوريات العالمية مثل الدوري الإنجليزي ، الدوري الإيطالي ، الدوري المصري، دوري أبطال أوروبا ، دوري أبطال أفريقيا ، دوري أبطال آسيا ، والأحداث الهامة و السياسة الخارجية والداخلية بالإضافة للنقل الحصري لـ أخبار الفن والعديد من الأنشطة الثقافية والأدبية.
