أحدث الأخبار مع #GReAT
النهار المصرية
٠١-٠٥-٢٠٢٥
- النهار المصرية
هجمات سيبرانية تقودها مجموعة «لازاروس» تستهدف سلاسل التوريد في كوريا الجنوبية
كشف فريق الأبحاث والتحليلات العالمي (GReAT) لدى كاسبرسكي عن حملة جديدة ومتطورة تشنها مجموعة «لازاروس»، تجمع الحملة بين استخدام «هجوم حفرة الري» واستغلال ثغرات أمنية في برمجيات من طرف ثالث لاستهداف مؤسسات في كوريا الجنوبية. واكتشف الخبراء خلال البحث «ثغرة يوم الصفر» في برنامج Innorix Agent الكوري المستخدم على نطاق واسع، وسرعان ما عولجت على الفور. وجاء الإعلان عن هذه النتائج خلال معرض «جيتكس آسيا»، وهي توضح أنّ مجموعة «لازاروس» تستغل إلمامها العميق بمنظومة البرمجيات في كوريا الجنوبية لتنفيذ هجمات سيبرانية متعددة المراحل. يشير التقرير الجديد الصادر عن فريق الأبحاث والتحليلات العالمي (GReAT) لدى كاسبرسكي إلى استهداف المهاجمين لست مؤسسات في قطاعات حيوية متنوعة في كوريا الجنوبية هي: البرمجيات، وتكنولوجيا المعلومات، والخدمات المالية، وأشباه الموصلات، والاتصالات. وربما يكون العدد الحقيقي للضحايا أعلى بكثير، وقد أطلق باحثو كاسبرسكي على هذه الحملة اسم الثغرة المتزامنة «Operation SyncHole». تمارس مجموعة «لازاروس» أنشطتها منذ عام 2009 تقريباً، فهي تعد من أبرز جهات التهديدات السيبرانية المعروفة بامتلاكها موارد واسعة. وقد لاحظ الخبراء خلال الحملة الأخيرة أنّها استغلت ثغرة في برنامج Innorix Agent، وهو أداة خارجية مدمجة في المتصفح ومستخدمة للنقل الآمن للملفات في الأنظمة الإدارية والمالية. وأتاح استغلال هذه الثغرة للمهاجمين أن ينتقلوا ضمن الشبكة، وينجحوا في تثبيت برمجيات خبيثة إضافية في المضيف المُستهدف. وأفضى ذلك في نهاية المطاف إلى نشر برمجيات لازاروس الخبيثة والشهيرة، مثل ThreatNeedle وLPEClient، فتوسع نطاق انتشارهم وسيطرتهم داخل الشبكات الداخلية. وجاءت عملية الاستغلال ضمن سلسلة أوسع من الهجمات؛ إذ نفذها المهاجمون عبر تنزيل أداة Agamemnon الخبيثة، التي استهدفت إصداراً ضعيف الحماية من Innorix (9.2.18.496). عندما بدأ خبراء GReAT لدى كاسبرسكي تحليل سلوك البرمجية الخبيثة، اكتشفوا كذلك «ثغرة اليوم صفر» التي تتيح تنزيل ملفات عشوائية، وقد نجح الخبراء في اكتشافها قبل أن يستخدمها المهاجمون في هجماتهم السيبرانية. وسارعت كاسبرسكي إلى إبلاغ وكالة الإنترنت والأمن الكورية (KrCERT) والشركة المُصنِّعة عن المشكلات الأمنية في Innorix Agent، وسرعان مع أطلقت إصدارات محدثة من البرنامج لمعالجة الثغرة الأمنية التي خُصصت بالرمز التعريفي: KVE-2025-0014. يقول سوجون ريو، وهو باحث أمني في فريق GReAT لدى كاسبرسكي: «النهج الاستباقي أمر بالغ الأهمية في الأمن السيبراني، وبفضله اكتشف تحليلنا المعمق للبرمجيات الخبيثة ثغرة أمنية غير معروفة سابقاً، وقد كشفناها قبل ظهور أي بوادر على استغلالها. ولا ريب أنّ الاكتشاف المبكر لتهديدات كهذه ضروري للغاية للحيلولة دون اختراق الأنظمة على نطاق واسع». قبل التوصل إلى النتائج الحديثة بشأن INNORIX، كشف خبراء كاسبرسكي عن استخدام نسخة من برمجيتي الباب الخلفي ThreatNeedle وSIGNBT لشن هجمات سيبرانية لاحقة على كوريا الجنوبية. وكانت البرمجية الخبيثة تعمل بخفاء داخل ذاكرة عملية شرعية باسم وقد أنشئت كعملية فرعية لبرنامج Cross EX، وهو برنامج كوري جنوبي يدعم استخدام أدوات الأمان عبر المتصفحات المختلفة. وأشار التحليل المفصل للحملة إلى تمييز وسيلة الهجوم نفسها في خمس مؤسسات أخرى في كوريا الجنوبية. ويبدو أنّ سلاسل الإصابة انطلقت في كل حالة من ثغرة أمنية محتملة في برنامج Cross EX، مما يجعلها منطلق الإصابة في العملية كلها. ويجدر الإشارة إلى التحذير الأمني الحديث الذي نشره KrCERT، والذي يؤكد وجود ثغرة أمنية في Cross EX، وقد عولجت بعد ذلك خلال الفترة الزمنية للبحث. يقول إيغور كوزنتسوف، مدير فريق GReAT لدى كاسبرسكي: «تشير هذه النتائج جميعها إلى مشكلة أمنية أوسع نطاقاً؛ فالإضافات من الطرف الثالث للمتصفحات والأدوات المساعدة تزيد مساحة الهجمات، لا سيما في بيئات تعتمد برامج خاصة بمنطقة جغرافية معينة أو تعتمد برامج قديمة. فهذه المكونات تعمل غالباً بامتيازات محسنة، وتظل داخل الذاكرة، وتتفاعل بعمق مع عمليات المتصفح، وبذلك تكون أهدافاً جذابة وأسهل للاختراق من المتصفحات الحديثة نفسها». كيف انطلقت هجمات SyncHole؟ استفادت مجموعة «لازاروس» من مواقع إلكترونية إعلامية مخترقة يزورها عدد كبير من المستخدمين، واستخدمتها طعماً لتحقيق غايتها، ويعرف هذا الأسلوب باسم «هجمات حفرة الري». وعمل المهاجمون على تصفية حركة البيانات الواردة لتحديد الأفراد المستهدفين، ومن ثم إعادة توجيههم بعناية إلى مواقع إلكترونية يتحكمون بها، وبذلك أطلقت مجموعةٌ من الإجراءات التقنية سلسلةَ الهجوم. وتوضح هذه الطريقة المتبعة الطابع الاستراتيجي الدقيق لعمليات مجموعة لازاروس. مثال على صفحة معاد توجيهها استخدمت في الهجوم يرجى مراجعة الموقع الإلكتروني: لمعرفة معلومات إضافية عن مجموعة لازاروس. كشفت منتجات كاسبرسكي عن البرمجيات الخبيثة والثغرات المستخدمة في هذا الهجوم، وهي إلى ذلك موضحة على النحو الآتي: و و MEM: و MEM: و و و للحماية من هجمات لازاروس وهجمات التهديدات المتقدمة المستمرة الأخرى (APT)، توصي كاسبرسكي بالكشف الدقيق، والاستجابة السريعة للأساليب المعروفة في الهجمات، والمعالجة الفورية للثغرات الأمنية. وتقدم الشركة نصائح إضافية هي: • احرصوا دوماً على تحديث برامج الأجهزة المستخدمة كلها لمنع المهاجمين من استغلال الثغرات الأمنية لاختراق شبكاتكم. • بادروا إلى إجراء تدقيق أمني سيبراني لشبكاتكم وأصولكم بغرض الكشف عن الثغرات والأنظمة المعرضة للخطر، ومعالجة مكامن الضعف المكتشفة في محيط الشبكة وداخلها. • ننصحكم باستخدام حلول Kaspersky Next المتنوعة لحماية شركاتكم من تهديدات كثيرة، فهي توفر حماية فورية، وتقدم رؤية شاملة للتهديدات، وتوفر قدرات التحقق والاستجابة عبر برامج حماية النقاط الطرفية (EDR) والكشف والاستجابة الموسعة (XDR) للشركات بمختلف أحجامها وقطاعاتها. • زودوا خبراء أمن المعلومات لديكم برؤية متعمقة للتهديدات السيبرانية التي تستهدف مؤسساتكم. فالإصدار الأحدث من Kaspersky Threat Intelligence يمنحهم سياقاً غنياً ومتكاملاً يغطي عملية إدارة الحوادث كلها، ويساعدهم في اكتشاف المخاطر والتهديدات السيبرانية في الوقت المناسب.
البوابة العربية للأخبار التقنية
٢٩-٠٤-٢٠٢٥
- علوم
- البوابة العربية للأخبار التقنية
كاسبرسكي تحذر من هجمات سيبرانية جديدة تستهدف سلاسل التوريد
في كشف أمني نوعي يسلط الضوء على التهديدات السيبرانية المتطورة، أعلن فريق البحث والتحليل العالمي (GReAT) في شركة كاسبرسكي، تفاصيل حملة هجومية جديدة ومعقدة للغاية، أطلق عليها اسم (Operation SyncHole)، تشنها مجموعة (لازاروس) Lazarus، وهي واحدة من أشهر وأخطر المجموعات النشيطة في مجال التهديدات المتقدمة المستمرة (APT)، على مستوى العالم. وقد استهدفت هذه الحملة الخبيثة مؤسسات حيوية في كوريا الجنوبية، وتميزت باعتمادها على مزيج متطور وغير تقليدي من تكتيكات الاختراق، فقد لاحظ فريق كاسبرسكي أن المجموعة تستخدم ما يُعرف باسم هجوم (Watering Hole)، بالإضافة إلى استغلال الثغرات الأمنية في البرمجيات الشائعة الاستخدام ضمن بيئة العمل في كوريا الجنوبية، التي يطورها طرف ثالث. كما اكتشف فريق كاسبرسكي خلال التحقيق في هذه الحملة، (ثغرة يوم الصفر) في برنامج (Innorix Agent) الكوري المستخدم على نطاق واسع، وفور اكتشاف هذه الثغرة أبلغت كاسبرسكي وكالة الإنترنت والأمن الكورية (KrCERT)، وهي الجهة المسؤولة عن الاستجابة للحوادث السيبرانية في كوريا الجنوبية، للتعامل معها ومعالجتها بسرعة. وتشكل (ثغرات يوم الصفر) Zero-Day Vulnerabilities، خطرًا بالغًا للغاية بسبب عدم وجود حلول أو تحديثات أمنية معروفة لها لحظة اكتشافها، مما يسمح للمهاجمين باستغلالها بنجاح دون أن تتمكن الأنظمة المستهدفة من الدفاع عن نفسها قبل أن يتمكن المطورون من إصدار تحديثات أمنية لمعالجتها. تفاصيل الحملة: كشف التقرير الصادر عن فريق (GReAT) أن الحملة الهجومية الجديدة استهدفت ما لا يقل عن ست مؤسسات ضمن قطاعات حيوية ومهمة في كوريا الجنوبية، شملت: قطاع البرمجيات، وتكنولوجيا المعلومات، والخدمات المالية، وصناعة أشباه الموصلات، بالإضافة إلى قطاع الاتصالات الحيوي، الذي يمثل شريان الحياة الرقمية. ومع ذلك يشير فريق كاسبرسكي إلى أن العدد الفعلي للشركات والمؤسسات التي تعرضت للاختراق والتضرر خلال هذه الحملة قد يكون أكبر بكثير نظرًا إلى طبيعة الهجوم وانتشاره المحتمل. ولاحظ خبراء كاسبرسكي أن الهجمات الأولية – هجمات (Watering Hole) – اعتمدت على استغلال مواقع إلكترونية إعلامية مخترقة وشائعة يزورها عدد كبير من المستخدمين المستهدفين المحتملين، واُستخدمت هذه المواقع كطعم، إذ عمل مجموعة لازاروس على تصفية زوار الموقع لتحديد الضحايا المطلوبين ومن ثم إعادة توجيههم إلى مواقع تسيطر عليها، لتنفيذ المرحلة التالية من سلسلة الهجوم، التي تؤدي إلى استغلال الثغرات وتنزيل البرمجيات الخبيثة. وقد استغلت مجموعة لازاروس ثغرة أمنية في برنامج (Innorix Agent)، وهو أداة خارجية شائعة الاستخدام في كوريا الجنوبية ومدمجة في المتصفحات لتسهيل نقل الملفات بنحو آمن في الأنظمة الإدارية والمالية، ومكّنت هذه الثغرة المهاجمين من التنقل داخل الشبكات المستهدفة، وتثبيت برمجيات خبيثة مثل: (ThreatNeedle)، و(LPEClient)، بالإضافة إلى أداة (Agamemnon) الخبيثة، التي استهدفت إصدارًا قديمًا من البرنامج. واكتشف خبراء كاسبرسكي خلال تحليل سلوك البرمجية الخبيثة، أنها تتيح للمهاجمين تنزيل ملفات عشوائية، ويعني ذلك أن المهاجمين كانوا قادرين على تجاوز القيود وسحب أي ملف بحرية من النظام المستهدف والمصاب بالثغرة دون الحاجة إلى تصاريح، مما يوفر قدرة كبيرة على سرقة البيانات الحساسة أو جمع المعلومات الاستخباراتية. وقد رُصدت هذه الثغرة قبل استغلال المهاجمين لها، وسارعت كاسبرسكي باتخاذ إجراءات استباقية وحاسمة وفقًا لمبادئ الإفصاح المسؤول، إذ أبلغت وكالة الإنترنت والأمن الكورية، وكذلك الشركة المُصنِّعة لبرنامج (Innorix Agent) بالنتائج، واستجابت الشركة المصنعة بسرعة بإصدار تحديثات لمعالجة الثغرة الأمنية، التي عُين المُعرف (KVE-2025-0014) لها، مما ساعد في الحد من مخاطر الاستغلال. وتعليقًا على ذلك؛ قال (سوجون ريو)، الباحث الأمني في فريق GReAT في كاسبرسكي: 'النهج الاستباقي هو أمر بالغ الأهمية في الأمن السيبراني، وبفضله اكتشف تحليلنا العميق للبرمجيات الخبيثة ثغرة أمنية غير معروفة سابقًا، وقد كشفناها قبل ظهور أي بوادر على استغلالها، ولا ريب أنّ الاكتشاف المبكر لتهديدات كهذه ضروري للغاية للحيلولة دون اختراق الأنظمة على نطاق واسع'. هجمات إضافية وثغرات في برمجيات أخرى: قبل استكمال التحليلات المتعلقة ببرنامج (INNORIX) وثغرة (يوم الصفر) المكتشفة فيه، كشف خبراء كاسبرسكي عن استخدام نسخة من برمجيتي الباب الخلفي ThreatNeedle وSIGNBT لشن هجمات سيبرانية لاحقة على كوريا الجنوبية. قد تميزت هذه البرمجيات الخبيثة بأسلوب تشغيل خفي للغاية، إذ كانت تعمل داخل ذاكرة عملية شرعية تُعرف باسم ( والأهم من ذلك، تبين أن عملية ( هذه قد أُنشئت كعملية فرعية من برنامج آخر يُسمى (Cross EX)، وهو برنامج مصمم لدعم استخدام أدوات الأمان عبر المتصفحات المختلفة. وأشار التحليل المفصل للحملة إلى تمييز وسيلة الهجوم نفسها في خمس مؤسسات أخرى في كوريا الجنوبية. ويبدو أنّ سلاسل الإصابة انطلقت في كل حالة من ثغرة أمنية محتملة في برنامج Cross EX، مما يجعله منطلق الإصابة في العملية كلها. وتعليقًا على ذلك، قال إيغور كوزنتسوف، مدير فريق (GReAT) في شركة كاسبرسكي: 'تشير هذه النتائج جميعها إلى مشكلة أمنية واسعة النطاق، إذ تساهم الإضافات من الطرف الثالث للمتصفحات والأدوات المساعدة في توسيع مساحة الهجوم خاصة في البيئات، التي تعتمد على برمجيات خاصة بمنطقة جغرافية معينة أو تستخدم إصدارات قديمة وغير محدثة من البرامج، وبذلك تكون أهدافًا جذابة وسهلة في لاختراق من المتصفحات الحديثة نفسها'. وتجدر الإشارة إلى أن مجموعة لازاروس تمارس أنشطتها منذ عام 2009، وتُعرف بكونها من أبرز جهات التهديدات السيبرانية بامتلاكها موارد وقدرات واسعة، ويُظهر استغلالها لبرمجيات محلية شائعة في هذه الحملة إلمامها العميق بالمنظومة البرمجية في كوريا الجنوبية. وصايا خبراء كاسبرسكي: للتصدي بفعالية لهجمات لازاروس المعقدة وغيرها من حملات التهديدات المتقدمة المستمرة (APT)، يشدد خبراء كاسبرسكي على أهمية اتباع نهج دفاعي استباقي ودقيق، وترتكز توصياتهم الرئيسية على ثلاثة محاور، تشمل: الكشف الدقيق عن الأنشطة الخبيثة، والاستجابة السريعة والمنهجية للأساليب الهجومية المعروفة، والمعالجة الفورية لأي نقاط ضعف أو ثغرات أمنية مكتشفة. كما يقدمون نصائح إضافية تشمل: الحفاظ على التحديثات الدورية والشاملة: يجب التأكد بصفة مستمرة ومنتظمة من تحديث جميع البرامج، والتطبيقات، وأنظمة التشغيل، وحتى البرامج الثابتة (firmware) لكافة الأجهزة المستخدمة ضمن الشبكة والبيئة التقنية للمؤسسة، لمنع المهاجمين من استغلال الثغرات الأمنية لاختراق الشبكات. يجب التأكد بصفة مستمرة ومنتظمة من تحديث جميع البرامج، والتطبيقات، وأنظمة التشغيل، وحتى البرامج الثابتة (firmware) لكافة الأجهزة المستخدمة ضمن الشبكة والبيئة التقنية للمؤسسة، لمنع المهاجمين من استغلال الثغرات الأمنية لاختراق الشبكات. إجراء عمليات تدقيق أمني شاملة ومنهجية: يجب إجراء تدقيق شامل للأمن السيبراني يغطي كامل البنية التحتية للشبكة، بما يشمل: الخوادم، ومحطات العمل، والأجهزة المحمولة، والأجهزة الشبكية، بالإضافة إلى جميع الأصول الرقمية الأخرى ذات الصلة، بغرض الكشف عن الثغرات والأنظمة المعرضة للخطر، ومعالجة مكامن الضعف المكتشفة في محيط الشبكة وداخلها. يجب إجراء تدقيق شامل للأمن السيبراني يغطي كامل البنية التحتية للشبكة، بما يشمل: الخوادم، ومحطات العمل، والأجهزة المحمولة، والأجهزة الشبكية، بالإضافة إلى جميع الأصول الرقمية الأخرى ذات الصلة، بغرض الكشف عن الثغرات والأنظمة المعرضة للخطر، ومعالجة مكامن الضعف المكتشفة في محيط الشبكة وداخلها. الاستفادة من حلول الحماية المتكاملة والمتقدمة: لحماية الشركة من مجموعة واسعة من التهديدات، يوصى باستخدام حلول (Kaspersky Next)، التي توفر الحماية الفورية وتقدم رؤية شاملة للتهديدات، كما توفر قدرات التحقق والاستجابة عبر برامج حماية النقاط الطرفية (EDR) والكشف والاستجابة الموسعة (XDR) للشركات بمختلف أحجامها وقطاعاتها. لحماية الشركة من مجموعة واسعة من التهديدات، يوصى باستخدام حلول (Kaspersky Next)، التي توفر الحماية الفورية وتقدم رؤية شاملة للتهديدات، كما توفر قدرات التحقق والاستجابة عبر برامج حماية النقاط الطرفية (EDR) والكشف والاستجابة الموسعة (XDR) للشركات بمختلف أحجامها وقطاعاتها. تمكين فرق الأمن: يجب تزويد فريق مركز العمليات الأمني بالوصول إلى أحدث معلومات التهديدات (TI). ويوفر الإصدار الأحدث من منصة (Kaspersky Threat Intelligence Portal) سياقًا غنيًا ومتكاملًا حول التهديدات السيبرانية العالمية والإقليمية وأساليب المهاجمين، ويساعد هذا السياق فرق الأمن في فهم الهجمات المحتملة بنحو أفضل، ويسهل عليهم عملية إدارة الحوادث الأمنية بأكملها بدءًا من التحليل وحتى الاستجابة، مما يمكنهم من اكتشاف المخاطر والتهديدات السيبرانية وتحديدها والتعامل معها في الوقت المناسب قبل أن تتحول إلى اختراقات ناجحة.
البوابة
٢٧-٠٣-٢٠٢٥
- البوابة
كاسبرسكي تكتشف ثغرة يوم الصفر في متصفح كروم وتساعد في إصلاحها
أعلنت كاسبرسكي، اكتشافها ثغرة يوم الصفر في متصفح جوجل كروم (CVE-2025-2783)، والتي استُغلت في هجمات تصيد استهدفت جهات إعلامية وحكومية وتعليمية في روسيا. سمحت الثغرة للمهاجمين بتجاوز أنظمة الحماية دون الحاجة إلى أي تفاعل إضافي من المستخدمين. اكتشف الثغرة فريق البحث والتحليل العالمي في كاسبرسكي (GReAT)، الذي أبلغ عنها لجوجل، ما دفعها إلى إصدار تحديث أمني في 25 مارس 2025. أظهرت التحقيقات أن الحملة، التي أُطلق عليها اسم Operation ForumTroll، اعتمدت على رسائل تصيد احتيالي تحمل دعوات مزيفة لمنتدى "Primakov Readings"، مع روابط خبيثة استُغلت لفترة قصيرة للتهرب من الكشف الأمني. أشارت كاسبرسكي إلى أن الهجوم تضمن استخدام تقنيات متقدمة، حيث استغل المهاجمون ثغرتين رئيسيتين، إحداهما تتعلق بتنفيذ الكود عن بُعد (RCE) لم تُحدد بعد، والثانية تجاوز العزل الأمني، والتي تم الإبلاغ عنها. ووصفت الشركة الهجوم بأنه عملية تجسس نفذتها مجموعة تهديدات متقدمة مستمرة (APT). أكدت كاسبرسكي استمرار التحقيق في تفاصيل الهجوم، مع التزامها بتوفير الحماية للمستخدمين عبر حلولها الأمنية. وأوصت بتحديث المتصفح فورًا، واستخدام تقنيات أمنية متقدمة، إلى جانب متابعة معلومات التهديدات الأمنية لضمان الحماية من الثغرات المكتشفة حديثًا.
النهار المصرية
٢٧-٠٣-٢٠٢٥
- علوم
- النهار المصرية
كشف ثغرة يوم الصفر في متصفح كروم تم استغلالها في هجمات نشطة
اكتشفت كاسبرسكي وساعدت في إصلاح ثغرة يوم الصفر معقدة في متصفح جوجل كروم (2783-2025-CVE) سمحت للمهاجمين بتجاوز نظام الحماية والعزل في المتصفح. اكتُشفت الثغرة بواسطة فريق البحث والتحليل العالمي في كاسبرسكي (GReAT)، حيث لم تتطلب أي تفاعل من المستخدم باستثناء النقر على رابط خبيث، وأظهرت مستوى استثنائياً من التعقيد التقني. وأشادت جوجل بجهود باحثي كاسبرسكي لدورهم في اكتشاف هذه الثغرة الأمنية والإبلاغ عنها. في منتصف مارس 2025، رصدت كاسبرسكي موجة من الإصابات الإلكترونية التي نتجت عن نقر المستخدمين على روابط تصيد احتيالي مُخصصة، مُرسلة عبر رسائل البريد الإلكتروني. بعد النقر على الرابط، لم تكن هناك حاجة لأي إجراء إضافي لاختراق أنظمتهم. بعدما أكّد تحليل كاسبرسكي استغلال الثغرة لنقطة ضعف لم تُكتشف من قبل في أحدث إصدار من جوجل كروم، سارعت كاسبرسكي بتنبيه فريق الأمان في جوجل. وصدر إصلاح أمني لإصلاح الثغرة في 25 مارس 2025. أطلق باحثو كاسبرسكي على الحملة اسم «Operation ForumTroll»، حيث أرسل المهاجمون رسائل تصيد احتيالي مُخصصة تتضمن دعوات مزيفة لحضور منتدى «Primakov Readings». واستهدفت هذه الخدع وسائل الإعلام والمؤسسات التعليمية و والمؤسسات الحكومية في روسيا. كما تميزت الروابط الخبيثة بفترة نشاط قصيرة جداً للتهرّب من أنظمة الكشف الأمني، وفي غالبية الحالات كانت تحوّل المستخدمين إلى الموقع الإلكتروني المشروع لمنتدى «Primakov Readings» بمجرد إيقاف عمل الثغرة الأمنية. كانت ثغرة يوم الصفر في متصفح كروم مجرد جزء من سلسلة معقدة تضمنت طريقتين للاستغلال على الأقل: الأولى هي ثغرة تنفيذ الكود عن بُعد (RCE exploit) - والتي لم يُعثر عليها بعد - حيث يبدو أنها كانت نقطة بداية الهجوم، أما المرحلة الثانية فكانت ثغرة تجاوز نظام الحماية المعزول التي اكتشفها فريق كاسبرسكي. يشير تحليل وظائف البرمجيات الخبيثة إلى أن العملية صُممت بشكل رئيسي للتجسس. وتشير كل الأدلة إلى مجموعة تهديدات المتقدمة المستمرة (APT). من جانبه، صرّح بوريس لارين، كبير باحثي الأمن في فريق البحث والتحليل العالمي في كاسبرسكي، قائلاً: «تبرز هذه الثغرة الأمنية بشكل استثنائي عن العشرات من ثغرات اليوم الصفري التي تمكنا من اكتشافها على مر السنين. حيث تجاوزت الثغرة نظام الحماية المعزول في كروم دون تنفيذ أي عمليات ذات طابع خبيث واضح - وكأن حدود الحماية الأمنية لم تكن موجودة على الإطلاق. ويدل مستوى التعقيد التقني المستخدم في هذه الثغرة على أنها من تطوير جهات فاعلة تتمتع بمهارات عالية المستوى وتمتلك موارد ضخمة. لذا، نحثّ بشدة جميع المستخدمين على تحديث متصفح جوجل كروم وأي متصفح يعتمد على محرك كروميوم إلى أحدث إصدار للحماية من هذه الثغرة الأمنية.» أشادت جوجل بكاسبرسكي لاكتشاف المشكلة وإبلاغها عنها، مما يعكس التزام الشركة المستمر بالتعاون مع مجتمع الأمن السيبراني العالمي وضمان سلامة المستخدمين. من جانبها، تواصل كاسبرسكي التحقيق في عملية Operation ForumTroll. وسيُكشف عن المزيد من التفاصيل، بما في ذلك التحليل التقني لطرق الاستغلال والحمولة الخبيثة، في تقرير قادم بمجرد التأكد من تأمين حماية مستخدمي متصفح جوجل كروم. في غضون ذلك، تكشف جميع منتجات كاسبرسكي عن سلسلة الثغرات المستغلة والبرمجيات الخبيثة المرتبطة بها وتوفر الحماية اللازمة ضدها، مما يضمن تأمين المستخدمين من هذا التهديد. يأتي هذا الاكتشاف في أعقاب نجاح فريق البحث والتحليل العالمي في كاسبرسكي في تحديد ثغرة يوم الصفر أخرى في متصفح كروم (4947-2024- CVE)، والتي استُغلت العام الماضي بواسطة «مجموعة التهديدات المتقدمة المستمرة لازاروس» في حملة استهدفت سرقة العملات المشفرة. في تلك الحالة، عثر باحثو كاسبرسكي على خلل في تحديد نوع البيانات في محرك جافا سكريبت V8 التابع لجوجل، مما أتاح للمهاجمين تجاوز الميزات الأمنية من خلال موقع إلكتروني مزيف يدّعي تقديم ألعاب العملات المشفرة. للحماية من الهجمات المعقدة من هذا النوع، يوصي خبراء الأمن في كاسبرسكي بتطبيق التدابير التالية للحماية: • تأكد من تحديث البرامج بانتظام: احرص على تحديث نظام التشغيل والمتصفحات بانتظام - خاصة جوجل كروم - لمنع المهاجمين من استغلال الثغرات الأمنية التي يتم اكتشافها حديثاً. • اعتمد نهج أمني متعدد الطبقات: بالإضافة إلى حماية النقاط الطرفية، ينصح باستخدام حلول متقدمة مثل Kaspersky Next XDR Expert التي تعتمد على تقنيات الذكاء الاصطناعي وتعلّم الآلة لتحليل وربط البيانات من مصادر متعددة، وأتمتة عمليات الكشف والاستجابة ضد التهديدات المتقدمة وحملات مجموعات التهديدات المتقدمة المستمرة. • استفد من خدمات معلومات التهديدات: تساعدك المعلومات المحدّثة والسياقية - مثل Kaspersky Threat Intelligence - في البقاء على اطلاع دائم بطرق الاستغلال الجديدة من نوع اليوم الصفري، وأحدث الأساليب التي يستخدمها المهاجمون.
البوابة
١٣-٠٣-٢٠٢٥
- البوابة
برمجية خبيثة تجبر صناع المحتوى على يوتيوب على نشر برامج مهكرة
كشفت كاسبرسكي عن حملة سيبرانية تستهدف صناع المحتوى على يوتيوب، حيث يستخدم المهاجمون شكاوى احتيالية تتعلق بانتهاك حقوق النشر لابتزازهم وإجبارهم على نشر برمجيات خبيثة متنكرة في هيئة أدوات لتخطي القيود المفروضة على الإنترنت. ووفقًا لفريق البحث والتحليل العالمي (GReAT) لدى كاسبرسكي، يقوم المهاجمون بتقديم شكاوى احتيالية متكررة ضد صناع المحتوى، مهددينهم بإنذار ثالث يؤدي إلى حذف قنواتهم؛ ما يدفع الضحايا دون علمهم إلى مشاركة روابط ضارة مع متابعيهم لإنقاذ قنواتهم. وأظهرت التحليلات أن أكثر من 2,000 مستخدم أصيبوا بالبرمجيات الخبيثة بعد تنزيل الأداة، مع احتمال أن يكون العدد الفعلي أعلى بكثير. وقد استُخدمت قناة يوتيوب تضم 60 ألف مشترك لنشر هذه الروابط، ما أدى إلى تحقيق مقاطع الفيديو التي تحتوي عليها أكثر من 400 ألف مشاهدة، فيما تم تنزيل الأرشيف المصاب أكثر من 40 ألف مرة عبر موقع احتيالي. البرمجية الخبيثة المستخدمة تُعرف باسم SilentCryptoMiner، وتستغل الطلب المتزايد على أدوات تجاوز القيود المفروضة على الإنترنت لخداع المستخدمين. وكشفت بيانات كاسبرسكي عن زيادة كبيرة في استخدام برامج تشغيل Windows Packet Divert، حيث ارتفع عدد الحالات من 280 ألفًا في أغسطس إلى 500 ألف في يناير، ليصل الإجمالي إلى أكثر من 2.4 مليون حالة خلال ستة أشهر. وقام المهاجمون بتعديل أداة مشروعة على GitHub لتجاوز فحص الحزم العميق (DPI)، مع الاحتفاظ بوظائفها الأصلية لتجنب إثارة الشكوك، بينما تقوم سرًا بتثبيت SilentCryptoMiner، الذي يستغل موارد الحوسبة لتعدين العملات المشفرة دون علم المستخدمين، ما يؤدي إلى تراجع أداء الأجهزة وارتفاع استهلاك الطاقة. وأشار الباحث الأمني في كاسبرسكي، ليونيد بيزفيرشينكو، إلى أن هذا الأسلوب يمثل تطورًا خطيرًا في عمليات نشر البرمجيات الخبيثة، حيث يستغل المهاجمون ثقة المتابعين في صناع المحتوى الموثوقين، مما يعزز من خطورة هذه الحملة وإمكانية انتشارها عالميًا. ولحماية المستخدمين من هذا النوع من التهديدات، توصي كاسبرسكي بعدم تعطيل برامج الحماية عند طلب ذلك، والانتباه إلى أي تغيرات غير طبيعية في أداء الجهاز، واستخدام حلول أمنية متقدمة، مع ضرورة تحديث النظام والبرامج بانتظام والتحقق من موثوقية التطبيقات والمصادر قبل تثبيتها.
