الخميس , نوفمبر 26 2020
أخبار مميزة
الرئيسية / أمن الانترنت / بالو ألتو نتوركس: اكتشاف هجمات إلكترونية جديدة تستهدف المؤسسات الكويتية
palo alto networks

بالو ألتو نتوركس: اكتشاف هجمات إلكترونية جديدة تستهدف المؤسسات الكويتية

دبي- رصدت شركة بالو ألتو نتوركس هجمات جديدة لمجموعة إكس هانت (xHunt) تستهدف المؤسسات الكويتية.

وقد بدأت أنشطة هذه المجموعة منذ يوليو 2018، حيث رصدت بالو ألتو نتوركس حينها محاولات لاستهداف مؤسسات حكومية في الكويت إضافة إلى شركات الشحن والنقل. إلا أن الشركة لاحظ في الآونة الأخيرة ظهور أدلة على محاولات لمجموعات الاختراق هذه للسيطرة على أنظمة خادم مايكروسوفت للبريد الإلكتروني لدى إحدى المؤسسات في الكويت. لكنها لم تتمكن من كشف الطريقة التي تمكنت مجموعات الاختراق هذه من الوصول إلى نظام الخادم للبريد الإلكتروني.

إلا أنه وبالاستناد إلى السجلّات الزمنية الخاصة بالمهام المُجدولة لعملية الاختراق، فمن المرجّح أن هذه الجهات التي تقف وراء محاولات الاختراق قد نجحت في الوصول إلى خادم البريد الإلكتروني يوم 22 أغسطس 2019 أو ربما قبل ذلك. ولقد تضمنت الأنشطة التي رصدتها بالو ألتو نتوركس استغلال ثغرتين أمنيتين – إحداهما يطلق عليها اسم TriFive والأخرى واحدة من أشكال ثغرة CASHY200 والتي يطلق عليها اسم Snugy – إضافة إلى كود اختراق “ويب شل web shell” يطلق عليه اسم Bumblebee.

Unit 42_xHunt Campaign

وتعتبر ثغرات TriFive وSnugy نصوصاّ برمجية تتيح للمخترقين الوصول إلى أنظمة خادم البريد الإلكتروني بعد أن يتم اختراقها، وذلك باستخدام قنوات سيطرة وتحكم مختلفة للتواصل مع جهات الاختراق. تعمد ثغرة TriFive إلى الاستعانة بقناة اتصال خاصة بالبريد الإلكتروني باستخدام خدمات البريد عبر الويب (EWS) بحيث تقوم بإنشاء مسوّدة رسالة بريد إلكتروني في مجلد العناصر المحذوفة ضمن حساب البريد الإلكتروني الذي يتعرض لهذا الاختراق.

أما ثغرة Snugy فتعمد إلى استخدام قنوات أنفاق اختراق أنظمة خادم أسماء النطاق DNS tuneling لتشغيل عدد الأوامر على أنظمة الخادم المُخترقة. وسنقوم لتقديم لمحة عن هاتين الثغرتين الأمنيتين نظرا لاختلافهما عن باقي الأدوات التي سبق استخدامها في هذه الحملة.

وفي سبتمبر من العام 2020، علمت شركة بالو ألتو نتوركس أن بعض محاولات الاختراق نجحت في الوصول إلى إحدى المؤسسات في الكويت. فقد احتوى نظام خادم البريد الإلكتروني لدى المؤسسة أوامر لعمليات مشبوهة يتم تنفيذها عبر الملف w3wp.exe لخدمات معلومات الإنترنت IIS.

وعمدت جهات الاختراق إلى إطلاق هذه الأوامر عبر كود يطلق عليه اسم BumbleBee والذي سبق تثبيته على نظام خادم البريد الإلكتروني. وقامت بالو ألتو نتوركس بالتحقيق في كيفية تمكّن جهات الاختراق من تثبيت كود web shell على نظام خادم البريد الإلكتروني، إلا أنها لم نجد أي أثر يدل على عملية اختراق خادم البريد الإلكتروني ضمن سجلات العمليات التي تمّ جمعها.

إلا أن بالو ألتو نتوركس اكتشفت وجود مهمّتين مجدولتين من قبل الجهات التي تقف خلف عمليات الاختراق هذه، ولكن قبل وقت طويل من تاريخ سجلات المهام التي حصلت الشركة عليها،

ولا يمكن التأكيد فيما إذا كانت جهات الاختراق قد استخدمت أيا من برامج الكود الضار هذه لتثبيت أوامر كود web shell، إلا أن من المؤكد أن هذه الجهات تمكنت من الوصول إلى أنظمة الخادم هذه في مرحلة سبقت الفترة التي توفرت لها سجلات العمليات.

ولا تزال أنشطة حملات مجموعة إكس هانت للقرصنة مستمرة في استهدافها للمؤسسات في دولة الكويت. بل أظهرت المجموعة قدرتها على تطوير أدواتها بإضافة بعض المزايا الجديدة وقنوات التواصل المختلفة في محاولة للتخفي وتجنب اكتشافها.

وكانت الثغرتان الأمنيتان على نظام خادم البريد الإلكتروني لدى المؤسسة الكويتية التي تعرضت لعملية للاختراق قد اعتمدتا على قنوات تواصل مخفيّة وذلك من أجل تنفيذ أوامر السيطرة والتحكم، وتحديدا أنفاق اختراق أنظمة خادم أسماء النطاق DNS Tuneling وقنوات تعتمد خدمة البريد الإلكتروني باستخدام مسوّدات الرسائل في مجلد العناصر المحذوفة لحساب البريد الإلكتروني المُخترق.

وكانت واحدة فقط من إصدارات أداة Hisoka قد استخدمت ضمن حملات مجموعة إكس هانت للقرصنة سابقا وحاولت استغلال مسوّدات رسائل البريد الإلكتروني لحساب البريد المُخترق من أجل تنفيذ أوامر السيطرة والتحكم، فيما يشير إلى ما يبدو وكأن المجموعة بدأت في استخدام قنوات التواصل الخاصة بالبريد الإلكتروني عندما يتسنى لهم الوصول إلى نظام الخادم المُخترق الخاص بالمؤسسات التي تستهدفها هذه المحاولات.

اقرا ايضا

Cyber

صورة على تويتر تتسبب في اختراق اجتماع لوزراء دفاع أوروبا

ذكرت شبكة ”آر تي إل” التليفزيوينة الألمانية بعد الكشف عن خلل أمني محرج أن صحفيا هولنديا تمكن بسهولة من اختراق اجتماع عبر تقنية الفيديو لوزراء دفاع الاتحاد الأوروبي يوم الجمعة. ونشرت وزيرة الدفاع الهولندية أنك بيليفيلد على تويتر صورة لها أثناء مشاركتها في الاجتماع عبر الإنترنت. ورأى مستخدم لماح أن خمسة من ستة أرقام من الشفرة السرية اللازمة للدخول إلى الاجتماع كانت مرئية، ومع ذلك، أطلع الشبكة التليفزيونية على الأمر. وكان من اليسير حينئذ التوصل للرقم المفقود، وتمكن الصحفي دانييل فيرلان من دخول غرفة المباحثات الافتراضية، ما دفع جوزيب بوريل مسؤول السياسة الخارجية بالاتحاد الأوروبي في استغراب لسؤاله عن هويته. وقال فيرلان للمجموعة إنه صحفي من هولندا. واعتذر للإزعاج بعدما سأله بوريل عما إذا كان يعرف أنه كان في اجتماع سري، وحينئذ غادر غرفة المحادثة عبر الفيديو. وعبر رئيس وزراء هولندا عن عدم رضاه بشأن بيليفيلد. وقال في لاهاي إن ”هذا يظهر مرة أخرى أنه يتعين على الوزراء أن يدركوا مدى الحرص الذي يجب عليهم اتخاذه عند التعامل مع تويتر”. وتحدثت وزارة الدفاع عن ”خطأ غبي” وتم حذف الصورة من على تويتر. Best free WordPress theme

تعليقات فيسبوك