اضغط هنا لتصفح النشرة من الموقع

صباح الخير قراءنا الكرام،

مرحبًا بكم في العدد الجديد من نشرة أمن المعلومات والتي تتناول شهريًا أهم الأحداث الخاصة بأمن المعلومات، إضافةً إلى التوعية بمخاطر الفضاء الإلكتروني.

يرصد هذا العدد مجموعة من أبرز الأحداث في مجال أمن المعلومات، فضلًا عن الثغرات والهجمات الإلكترونية التي تهم المستخدمين.

أهم الأخبار

• اختراق بيانات Dell يكشف عن معلومات شخصية لعدد 49 مليون عميل.

• أكثر من 90 تطبيق أندرويد ضار تم العثور عليها على متجر Google Play مع 5.5 ملايين عملية تثبيت.

• أعلنت CISA اختراق برامج الفدية "Black Basta" لأكثر من 500 منظمة حول العالم.

• أطلقت كل من Apple وGoogle ميزة لاكتشاف أجهزة التتبع عبر تقنية البلوتوث.

• مهاجمون يستغلون خدمات Amazon, Google & IBM Cloud  لسرقة بيانات العملاء.

مخاطر وثغرات

• يحذر الخبراء من وجود ثغرتين في F5 BIG-IP Next Central Manager تتيحان السيطرة على الأجهزة. 

• تقوم Apple بإصلاح ثغرة zero-day في WebKit التي تم استغلالها في Pwn2Own.

• تصلح Google خامس ثغرة Zero-Day في متصفح كروم التي استغلت في هجمات هذا العام. 

• ثغرة عالية الخطورة في Fortinet تنفذ تعليمات برمجية عن بُعد (RCE). 

• ثغرة في نظام تشغيل Oracle WebLogic يجعله تحت هجوم نشط.

معلومة أمنية

• احذر: مواقع مكافحة الفيروسات المزيفة حيث تنشر برامج ضارة لنظامي التشغيل Android وWindows
            

اختراق بيانات Dell يكشف عن معلومات شخصية لعدد 49 مليون عميل
 

10 مايو 2024

كشف المهاجمون وراء اختراق بيانات DELL الأخير أنهم قاموا بجمع معلومات من 49 مليون سجل لعملاء باستخدام واجهة برمجة تطبيقات API لبوابة شريكة تم الوصول إليها كشركة وهمية.

وذكر أن شركة DELL بدأت في إرسال إشعارات تحذير للعملاء بأن بياناتهم الشخصية قد تمت سرقتها في اختراق بيانات.

تحتوي هذه الاختراقات على بيانات طلبات العملاء، بما في ذلك معلومات الضمان، والعلامات الخدمية، وأسماء العملاء، والمواقع المثبتة، وأرقام العملاء، وأرقام الطلبات.

أفادت التقارير بأن جهة تهديد معروفة باسم "Menelik " قامت بعرض البيانات للبيع على منتدى القرصنة في 28 أبريل 2024، حيث قام المشرفون سريعًا بإزالتها.
 

 

أعلن Menelik أنهم تمكنوا من سرقة البيانات بعد اكتشاف بوابة للشركاء والموزعين والبائعين يمكن استخدامها للبحث عن معلومات الطلبات.

وأضاف أنه كان يمكنه الوصول إلى البوابة عن طريق تسجيل حسابات متعددة بأسماء شركات مزيفة ويمكنه الوصول إليها في غضون يومين بدون التحقق.

كما أفاد "من السهل جدًا التسجيل كشريك. ما عليك سوى ملء نموذج الطلب".

"قم بإدخال تفاصيل الشركة والسبب الذي تريد أن تصبح شريكًا به، ثم يقومون بالموافقة عليك فقط، ويمنحونك الوصول إلى هذه البوابة المعتمدة. لقد قمت للتو بإنشاء حساباتي الخاصة بهذه الطريقة. تستغرق العملية ككل 24-48 ساعة."

بمجرد الوصول إلى البوابة، أخبر Menelik أنهم قاموا بإنشاء برنامج يولد علامات خدمة من سبعة أرقام ويقدمونها إلى صفحة البوابة ابتداءً من مارس لاستخراج المعلومات التي تم إرجاعها.

حيث إن البوابة على ما يبدو لم تتضمن أي قيود على المعدلات، يزعم المهاجمون أنهم تمكنوا من جمع معلومات 49 مليون سجل عميل عن طريق توليد 5000 طلب في الدقيقة لثلاثة أسابيع، دون أن تمنع Dell تلك المحاولات.

أفاد Menelik أن سجلات العملاء المسروقة تشمل تفاصيل الأجهزة التالية:

• Monitors: 22,406,133

• Alienware Notebooks: 447,315

• Chromebooks: 198,713

• Inspiron Notebooks: 11,257,567

• Inspiron Desktops: 1,731,767

• Latitude Laptops: 4,130,510 

• Optiplex: 5,177,626

• Poweredge: 783,575

• Precision Desktops: 798,018

• Precision Notebooks: 486,244

• Vostro Notebooks: 148,087

• Vostro Desktops: 37,427

• Xps Notebooks: 1,045,302

• XPS/Alienware desktops: 399,695

كما أفاد المهاجمون بأنهم أرسلوا بريدًا إلكترونيًا إلى DELL في 12 و14 أبريل 2024 للإبلاغ عن الثغرة لفريق الأمن الخاص بهم، وقاموا بمشاركة البريد الإلكتروني. ومع ذلك، فإن المهاجمين أقروا بأنهم جمعوا 49 مليون سجل قبل الاتصال بالشركة.

ادعى المهاجمون أن DELL لم ترد على البريد الإلكتروني ولم تُصلح الثغرة إلا بعد حوالي أسبوعين تقريبًا، حين تم عرض البيانات المسروقة لأول مرة للبيع على منتدى القرصنة Breach Forums.

أكدت DELL أنها تلقت رسائل البريد الإلكتروني من المهاجمين ولكنها رفضت الإجابة عن أي أسئلة إضافية، حيث تقول إن الحادثة أصبحت تحت تحقيق نشط لإنفاذ القانون.

ومع ذلك، تزعم الشركة أنها كانت قد اكتشفت النشاط قبل تلقي رسالة البريد الإلكتروني من المهاجمين.

أفادت DELL “نحن لا نكشف عن أي معلومات قد تعرض سلامة تحقيقنا الجاري أو أي تحقيقات من قبل إدارة إنفاذ القانون."

"قبل استلام بريد المهاجم، كانت DELL تعرف بالفعل عن الحادثة وتتحقق منها، وتنفذ إجراءات الاستجابة الخاصة بها وتتخذ خطوات الاحتواء. كما قد قمنا أيضًا بإشراك شركة تحاليل جنائية تابعة لجهة خارجية للتحقيق. "
أصبحت واجهات برمجة التطبيقات (APIs) التي يمكن الوصول إليها بسهولة ثغرات ضخمة للشركات في السنوات الأخيرة، حيث يقوم المهاجمون بالاستفادة منها لجمع البيانات الحساسة وبيعها.

في عام 2021، قام المهاجمون بالاستفادة من ثغرة في واجهة برمجة تطبيق الـ Facebook لربط أرقام الهواتف بأكثر من 500 مليون حساب. تم تسريب هذه البيانات بالمجان تقريبًا على منتدى للقرصنة، حيث كان الأمر يتطلب فقط حسابًا ودفع 2 دولار لتنزيلها.

في نهاية ذلك العام، في ديسمبر، استغل المهاجمون ثغرة في واجهة برمجة تطبيق Twitter لربط ملايين أرقام الهواتف وعناوين البريد الإلكتروني بحسابات Twitter، التي تم بيعها لاحقًا على منتديات القرصنة.

وفي الآونة الأخيرة، استغل ثغرة في واجهة برمجة تطبيق Trello في العام الماضي لربط عنوان بريد إلكتروني بـ 15 مليون حساب، الذي تم، مرةً أخرى، عرضه للبيع على منتدى للقرصنة. تمت مشاركة البيانات لاحقًا مع Have I Been Pwned لإصدار إشعارات لأولئك الذين تعرضوا للانتهاك.

على الرغم من أن جميع هذه الحوادث تضمنت سرقة البيانات، فإنها كانت مسموحة بسبب سهولة الوصول إلى واجهات برمجة التطبيقات وعدم وجود حد مناسب لمعدل عدد الطلبات التي يمكن إجراؤها في الثانية من نفس المضيف.
 

أكثر من 90 تطبيق أندرويد ضار تم العثور عليها على متجر Google Play مع 5.5 ملايين عملية تثبيت
 

28 مايو 2024

تم العثور على أكثر من 90 تطبيق أندرويد ضار تم تثبيتها أكثر من 5.5 ملايين مرة عبر Google Play لتوصيل البرمجيات الضارة والإعلانات الضارة، مع ارتفاع نشاط حصان طروادة المصرفي Anatsa مؤخرًا.

يستهدف فيروس طروادة المصرفي Anatsa (المعروف أيضًا باسم "Teabot") أكثر من 650 تطبيقًا لمؤسسات مالية في أوروبا والولايات المتحدة والمملكة المتحدة وآسيا. يحاول سرقة بيانات الاعتماد البنكية الإلكترونية للأشخاص لإجراء معاملات احتيالية.

في فبراير 2024، أفادت شركة Threat Fabric أنه منذ أواخر العام الماضي، تمكن Anatsa من تحقيق ما لا يقل عن 150 ألف إصابة عبر Google Play باستخدام تطبيقات مزيفة مختلفة في فئة برامج الإنتاجية.

تفيد شركة Zscaler بأن Anatsa عاد إلى متجر التطبيقات الرسمي لأندرويد ويتم توزيعه الآن عبر تطبيقين مزيفين: "قارئ PDF ومدير الملفات" و"قارئ QR ومدير الملفات".

في وقت تحليل شركة Zscaler، كان التطبيقان قد حصدا بالفعل 70 ألف عملية تثبيت، مما يُظهر الخطر الكبير لتطبيقات الإنزال الخبيثة التي تنجح في التسلل عبر عملية مراجعة Google.

أحد الأمور التي تساعد تطبيقات الإنزال الخاصة بـ Anatsa على تجنب الاكتشاف هي آلية تحميل الملف الضار متعددة المراحل التي تتضمن أربع خطوات متميزة:

1. يسترجع تطبيق Dropper التكوين والسلاسل الأساسية من خادم التحكم (C2)

2. يتم تنزيل ملف DEX الذي يحتوي على كود الإنزال الضار وتفعيله على الجهاز.

3.  يتم تنزيل ملف التكوين الذي يحتوي على رابط حمولة Anatsa. 

4. يقوم ملف DEX بجلب وتثبيت حمولة البرامج الضارة (APK)، مكملًا الإصابة.

يقوم ملف DEX أيضًا بإجراء فحوصات لمكافحة التحليل لضمان عدم تنفيذ البرمجيات الضارة على البيئات المحاكاة أو الصناديق الرملية sandboxes.

بمجرد تشغيل Anatsa على الجهاز المصاب حديثًا، يقوم بتحميل تكوين الروبوت ونتائج فحص التطبيقات، ثم يقوم بتنزيل البرمجيات التي تتطابق مع موقع الضحية وملفها الشخصي.

تهديدات أخرى على Google Play
أفادت شركة Zscaler أنه خلال الشهرين الماضيين، اكتشفت أكثر من 90 تطبيقًا ضارًا على Google Play، والتي تم تثبيتها جماعيًا 5.5 ملايين مرة.

معظم التطبيقات الضارة تظاهرت بأنها أدوات، تطبيقات تخصيص، أدوات تصوير، تطبيقات إنتاجية، وتطبيقات صحة ولياقة.

العائلات الضارة الخمس التي تهيمن على المشهد هي Joker، Facestealer، Anatsa، Coper، والعديد من برامج الإعلانات الضارة.

على الرغم من أن Anatsa وCoper يشكلان 3% فقط من إجمالي التنزيلات الضارة من Google Play، فإنهما أكثر خطورة بكثير من البقية، حيث يمكنهما تنفيذ عمليات احتيال على الجهاز وسرقة المعلومات الحساسة.

عند تثبيت تطبيقات جديدة من Google Play، يُنصح بمراجعة الأذونات المطلوبة ورفض تلك المرتبطة بالأنشطة عالية الخطورة مثل خدمة الوصول (Accessibility Service) والرسائل القصيرة (SMS) وقائمة جهات الاتصال.

لم يكشف الباحثون عن أسماء أكثر من 90 تطبيقًا وما إذا تم الإبلاغ عنها إلى Google لإزالتها أم لا.

ومع ذلك، تمت إزالة تطبيقي الإنزال Anatsa اللذين اكتشفتهما شركة Zscaler من Google Play.
 

أعلنت CISA اختراق برامج الفدية "Black Basta" لأكثر من 500 منظمة حول العالم 
 

11 مايو 2024

أعلنت CISA ومكتب التحقيقات الفيدرالي أن مساعدي برنامج الفدية "Black Basta" قد اخترقوا أكثر من 500 منظمة بين أبريل 2022 ومايو 2024.

في تقرير مشترك نشر بالتعاون مع وزارة الصحة والخدمات الإنسانية (Health and Human Services HHS) ومركز تبادل وتحليل المعلومات متعدد الولايات (MS-ISAC)، أضافت الوكالتان الفيدراليتان أن العصابة قامت أيضًا بتشفير وسرقة البيانات مما لا يقل عن 12 من بين 16 قطاعًا للبنية التحتية الحيوية.

 وفقًا لتصريحات CISA "استهدف مساعدي برنامج الفدية Black Basta'' أكثر من 500 من كيانات الصناعة الخاصة والبنية التحتية الحيوية، بما في ذلك منظمات الرعاية الصحية، في أمريكا الشمالية وأوروبا وأستراليا".

ظهرت "Black Basta" كبرنامج طلب فدية كخدمة (Ransomware-as-a-Service RaaS) في أبريل 2022. منذ ذلك الحين، اخترقت الشركات التابعة لها العديد من الضحايا البارزين، بما في ذلك الموزع الدفاعي الألماني Rheinmetall، وفرع هيونداي الأوروبي، وشركة التكنولوجيا البريطانية لتوظيف الخدمات Capita، وشركة الأتمتة الصناعية ومقاول الحكومة ABB، ومكتبة تورونتو العامة، وجمعية طب الأسنان الأمريكية، وSobeys، وKnauf، وYellow Pages كندا.

بعد إغلاق تحالف الجريمة الإلكترونية Conti في يونيو 2022 بعد سلسلة من اختراقات البيانات المحرجة، انقسمت إلى مجموعات متعددة، يُعتقد أن أحد هذه الفصائل هي Black Basta.

أفاد الفريق الأمني التابع لوزارة الصحة والخدمات الإنسانية في تقرير صدر في شهر مارس 2023 "استهداف هذه المجموعة التهديدات لعدد لا يقل عن 20 ضحية في أول أسبوعين من عملياتها يشير إلى أنها ذات خبرة في برمجيات الفدية ولديها مصدر مستقر للوصول الأولي". 

"إن مستوى التطور من قبل مشغلي برامج الفدية الماهرين، والإحجام عن التوظيف أو الإعلان على منتديات الويب المظلمة، يدعم سبب اشتباه الكثيرين في أن Black Basta الوليدة قد تكون إعادة تسمية لمجموعة تهديد RaaS الناطقة بالروسية Conti، أو مرتبطة أيضا بمجموعات تهديد إلكترونية أخرى ناطقة بالروسية ".

وفقًا لأبحاث شركتي Elliptic وCorvus Insurance، فقد جنت هذه العصابة المرتبطة بروسيا في عمليات فدية على الأقل 100 مليون دولار من أكثر من 90 ضحية حتى نوفمبر 2023.

التقرير المشترك أيضًا يوفر للمدافعين تكتيكات وتقنيات وإجراءات (tactics, techniques, and procedures TTPs) ومؤشرات الاختراق (IOCs) المستخدمة من قبل مساعدي برنامج الفدية Black Basta والتي تم تحديدها خلال تحقيقات مكتب التحقيقات الفيدرالي.

يجب على المدافعين أن يحافظوا على أنظمة التشغيل والبرامج المثبتة مُحدثة، وطلب المصادقة متعددة العوامل المقاومة للتصيد الاحتيالي (MFA) لأكبر عدد ممكن من الخدمات، وتدريب المستخدمين على التعرف على محاولات التصيد الاحتيالي والإبلاغ عنها للتخفيف من مخاطر هجوم برنامج الفدية Black Basta.

يجب أيضًا على المدافعين تأمين برمجيات الوصول عن بُعد من خلال تطبيق التخفيفات الموصى بها من قبل CISA، وإجراء نسخ احتياطية من تكوين الأجهزة والأنظمة الحيوية بأكثر من مرة لتمكين إصلاحات واستعادة أسرع، وتنفيذ التخفيفات المشتركة المشاركة في دليل وقف برامج الفدية.

أبرزت الوكالات على وجه الخصوص الأخطار المتزايدة التي تواجهها منظمات الرعاية الصحية من هذه العملية لفدية وحثتها على التأكد من تطبيق هذه التخفيفات الموصى بها لمنع الهجمات المحتملة.

حذرت CISA والمكتب الفيدرالي للتحقيقات: "تعتبر منظمات الرعاية الصحية أهدافًا جذابة للمجرمين السيبرانيين بسبب حجمها، والاعتماد التكنولوجي، والوصول إلى معلومات الصحة الشخصية، والتأثيرات الفريدة الناتجة عن تعطيل رعاية المرضى".

"تحث المنظمات المؤلفة للتقرير القطاع الصحي وجميع المنظمات للبنية التحتية الحيوية على تطبيق التوصيات في قسم التخفيفات في هذا التقرير لتقليل احتمالية التعرض للاختراق من برنامج الفدية Black Basta وهجمات برامج الفدية الأخرى."
 

أطلقت كل من Apple وGoogle ميزة لاكتشاف أجهزة التتبع عبر تقنية البلوتوث

 14مايو 2024

أعلنت شركتا Apple وGoogle رسميًا عن إطلاق ميزة جديدة تُخطر المستخدمين عبر كل من iOS وAndroid في حال استخدام جهاز تتبع بتقنية البلوتوث لمراقبتهم بشكل خفي دون علمهم أو موافقتهم.

أفادت الشركتان في بيان مشترك: "سيساهم هذا في التقليل من سوء استخدام الأجهزة المصممة لمساعدة المستخدمين على تتبع ممتلكاتهم"، مشيرة إلى أنها تهدف إلى معالجة "المخاطر المحتملة لخصوصية وسلامة المستخدم".

تم الكشف عن مقترح الحل قبل عام.
تتوافر هذه الإمكانية- التي أطلق عليها اسم "اكتشاف أجهزة تتبع المواقع غير المرغوب فيها" (Detecting Unwanted Location Trackers DULT) - في أجهزة Android التي تعمل بنسخ 6.0 وما بعدها، وأجهزة iOS بإصدار iOS 17.5.

كجزء من المواصفات الصناعية، سيتلقى مستخدمو Android تنبيهًا بـ "جهاز التتبع الذي يسافر معك" إذا تم اكتشاف جهاز تتبع بتقنية البلوتوث غير معروف يتحرك معهم مع مرور الوقت، بغض النظر عن المنصة التي تم إقرانها بها. أما علىiOS، فسيحصل المستخدمون على رسالة تقول "[الجهاز] تم العثور عليه يتحرك معك".

بغض النظر عن نظام التشغيل، يحصل المستخدمون الذين يتلقون تنبيهًا مثل هذا التنبيه على خيار لعرض معرف الجهاز المتتبع، وتشغيل صوت للمساعدة في تحديد موقعه، والوصول إلى تعليمات لتعطيله.

وأضافت الشركتان " هذا التعاون عبر المنصات - الذي يعد أيضًا الأول من نوعه في الصناعة، ويشمل مشاركة المجتمع والصناعة - يقدم تعليمات وممارسات جيدة للمصنعين، في حال اختاروا إضافة قدرات تنبيه التتبع غير المرغوب فيه إلى منتجاتهم".

تأتي هذه التطورات ردًا على التقارير التي تفيد بأن أجهزة التتبع مثل AirTags تُستخدم من قبل العناصر السيئة لأغراض شريرة أو إجرامية، وغالبًا ما تتم إساءة استخدامها كأداة تتبع خبيثة من قبل المعتدين المحليين لمطاردة أهدافهم.

رُفعت دعوى قضائية جماعية ضد شركة Apple في أكتوبر 2023 تزعم أن AirTags أصبحت واحدة من أخطر وأكثر التقنيات التي يستخدمها المطاردون وأنه يمكن استخدامها لتحديد معلومات الموقع في الوقت الحقيقي لتتبع الضحايا.

العام الماضي، قامت مجموعة من الباحثين من جامعة جونز هوبكنز وجامعة كاليفورنيا، سان دييغو، بتطوير نظام تشفيري يقدم توازنًا أفضل بين خصوصية المستخدم واكتشاف المطاردين من خلال آلية تُسمى نظام المشاركة السرية متعدد الموزعين. (multi-dealer secret sharing - MDSS)

نظام المشاركة السرية متعددة الموزعين (MDSS) يوسع معيار المشاركة السرية ليشمل العديد من الموزعين مع العديد من الأسرار بينما يحقق خصائص جديدة مثل إلغاء الترابط وصحة الموزعين المتعددين"، وفقًا لما ذكره الأكاديميون في ورقة بحثية بعنوان "تتبع المواقع المقاوم للإساءة: تحقيق التوازن بين الخصوصية والسلامة في النظام البيئي للعثور على اتصال."

إعلان DULT يأتي أيضًا بعد قرار شركة Apple بإعادة تطبيق إصلاح صدر في مارس 2024 لثغرة أمنية في نظام التشغيل الحقيقي للوقت الفعلي RTKit (CVE-2024-23296) على الأجهزة التي تعمل بنسخ أقدم من iOS وiPadOS وmacOS.

هذه الثغرة التي تسمح للمهاجم ذي القدرة على قراءة وكتابة عشوائية على النواة kernel التعدي على حماية ذاكرة النواة kernel memory، من استغلال نشط، على الرغم من أن التفاصيل الفنية حول طبيعة هذه الهجمات غير معروفة حاليًا.

التصحيحات لهذه الثغرة متوافرة في الإصدارات التالية –

• iOS 16.7.8 and iPadOS 16.7.8 - iPhone 8, iPhone 8 Plus, iPhone X, iPad 5th generation, iPad Pro 9.7-inch, and iPad Pro 12.9-inch 1st generation

• macOS Ventura 13.6.7 - Macs running macOS Ventura

تُعالج تحديثات iOS 17.5 الخاصة بشركة Apple أيضًا بإصلاح 15 ثغرة أمنية، بما في ذلك الثغرة في AppleAVD (CVE-2024-27804) والنواة kernel (CVE-2024-27818) التي يمكن استغلالها للتسبب في إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية تعسفية. تم حل نفس الثغرتين في macOS Sonoma 14.5.

مهاجمون يستغلون خدمات Amazon, Google & IBM Cloud  لسرقة بيانات العملاء
 

3 يونيو 2024

مهاجمون يستغلون خدمات تخزين السحابة لاستضافة مواقع التصيد الاحتيالية لعمليات الاحتيال عبر الرسائل النصية عن طريق استغلال ميزة استضافة المواقع الثابتة في تخزين السحابة لتخزين ملفات HTML تحتوي على روابط ضارة، والتي تُدرج في رسائل النص القصير التي تتجاوز جدران الحماية؛ لأنها تحتوي على نطاقات منصات السحابة الموثوق بها.

عند النقر على الرابط في الرسالة النصية، يتم توجيه المستخدمين إلى موقع ويب يبدو مشروعًا المستضاف على Cloud Storage، ثم يعيد توجيههم إلى موقع التصيد الاحتيالي لسرقة معلوماتهم.

المهاجمون يستغلون تخزين Google Cloud Storage عن طريق استضافة صفحة ويب ضارة داخل مجموعة (Bucket)، والتي تستفيد من تقنية "HTML meta refresh"، وهي وظيفة تطوير ويب تقوم بإعادة تحميل أو إعادة توجيه المستخدم تلقائيًا إلى صفحة ويب أخرى بعد فترة زمنية محددة.

الرسائل البريدية غير المرغوب فيها تحتوي على روابط إلى هذه الصفحة الأولية المستضافة على تخزين Google Cloud Storage، مما يخدع المستخدمين لزيارة الموقع الضار دون علمهم.

المهاجمون يستغلون بشكل متزايد خدمات تخزين السحابة مثل Amazon AWS و IBM Cloud و Blackblaze B2 Cloud لتنفيذ هجمات التصيد الاحتيالي عبر الرسائل النصية، حيث تحتوي هذه الرسائل على روابط تبدو كروابط تخزين سحابية شرعية.

ومع ذلك، يتم توجيه المستخدمين إلى مواقع ويب ثابتة ضارة مصممة لسرقة المعلومات الشخصية. عند النقر على الرابط، قد يتم توجيه المستخدم تلقائيًا إلى موقع ويب يتنكر فيه كمنصة شهيرة، مثل صفحة تسجيل الدخول إلى البنك.

وفقًا لـ Enea، تسمح هذه التقنية للمهاجمين بتجاوز عوامل الأمان لأن الرابط الأولي ينبع من موفر سحابة موثوق به، مما يجعله يبدو أكثر مصداقية، مما يزيد من نسبة نجاح محاولات التصيد الاحتيالي هذه، حيث إن المستخدمين أقل احتمالاً للاشتباه في رابط من موفر خدمة سحابة شرعي.
 

يحذر الخبراء من وجود ثغرتين في F5 BIG-IP Next Central Manager تتيحان السيطرة على الأجهزة 

09 مايو 2024

 
قامت F5 بمعالجة ثغرتين خطيرتين تتبعهما CVE-2024-26026 وCVE-2024-21793 في BIG-IP Next Central Manager، يمكن أن تؤديان إلى السيطرة على الأجهزة.

BIG-IP Next Central Manager (NCM) هو حل مركزي للإدارة والتنظيم تقدمه شركة F5 Networks لعائلة منتجات BIG-IP. يوفر واجهة موحدة لإدارة أجهزة BIG-IP المتعددة عبر بنية الشبكة الخاصة بالمؤسسة. باستخدام BIG-IP NCM، يمكن للمسؤولين تكوين أجهزتهم ومراقبتها واستكشاف وإصلاح أخطائها بكفاءة، مما يضمن سياسات وتكوينات متسقة عبر الشبكة.

تم اكتشاف الثغرات بواسطة Vladyslav Babkin من شركة الأمن السيبراني Eclypsium.

الثغرة CVE-2024-26026 هي مشكلة حقن SQL يمكن استغلالها من قبل مهاجم غير مصادق لتنفيذ أوامر SQL ضارة من خلال واجهة برمجة التطبيقات (API) لـ BIG-IP Next Central Manager.

للتخفيف من هذه الثغرة، تقترح F5 تقييد الوصول إلى إدارة المنتجات المتأثرة إلى المستخدمين والأجهزة الموثوق بها فقط عبر شبكة آمنة.

بحسب التوجيه الصادر عن Eclypsium، فإن بحوثنا المستمرة قد حددت ثغرات قابلة للاستغلال عن بُعد في Next Central Manager من F5 التي يمكن أن تمنح المهاجمين السيطرة الإدارية الكاملة على الجهاز، وبالتالي تسمح للمهاجمين بإنشاء حسابات على أي أصول F5 تديرها Next Central Manager.

الثغرة CVE-2024-21793 هي مشكلة حقن OData تقع في واجهة برمجة التطبيقات (API) لـ Next Central Manager.

مهاجم غير مصادق يمكنه استغلال هذه الثغرة لتنفيذ أوامر SQL ضارة من خلال واجهة برمجة التطبيقات (API) لـ BIG-IP NEXT Central Manager.

Eclypsium ليست على علم بوجود هجمات في الواقع تستغل الثغرات المذكورة أعلاه.

استنتجت الشركة الأمنية أن الأنظمة الإدارية لبنية الشبكة مثل F5 BIG-IP يتم اختيارها هدفًا رئيسًا للمهاجمين وتتطلب يقظة إضافية.
 

تقوم Apple بإصلاح ثغرة zero-day في WebKit التي تم استغلالها في Pwn2Own 
 

  14 مايو 2024 
 
 

أطلقت Apple تحديثات أمنية لإصلاح ثغرة zero-day في متصفح الويب Safari تم استغلالها خلال مسابقة الاختراق Pwn2Own في Vancouver لهذا العام.

قامت الشركة بمعالجة الثغرة الأمنية (التي تُتبع باسم CVE-2024-27834) على الأنظمة التي تعمل بنظام macOS Monterey و macOS Ventura من خلال عمليات فحص محسنة.

بينما ذكرت Apple فقط أن الثغرة قد تم الإبلاغ عنها من قبل Manfred Paul، الذي يعمل مع مبادرة Zero Day Initiative التابعة لشركة Trend Micro، إلا أن هذا هو إحدى الثغرات التي ربطها الباحث الأمني بخطأ للحصول على تنفيذ التعليمات البرمجية عن بُعد وكسب 60,000 دولارًا خلال Pwn2Own.

المهاجم الذي يمتلك القدرة على القراءة والكتابة قد يكون قادرًا على تجاوز التحقق من المؤشرات (Pointer Authentication)، كما أوضحت Apple في توجيهها.

تُستخدم أكواد التحقق من المؤشرات (Pointer authentication codes PACs) على هندسة الـ arm64e للكشف عن التغييرات غير المتوقعة على المؤشرات في الذاكرة، حيث يقوم المعالج المركزي بتحفيز تعطُّل التطبيق بعد أحداث تلف الذاكرة المرتبطة بفشل المصادقة.

على الرغم من توافر Safari 17.5 لنظام التشغيل iOS 17.5 وiPadOS 17.5 وmacOS Sonoma 14.5 وtvOS 1.2، فإن Apple لم تؤكد بعد ما إذا كانت قد قامت أيضًا بإصلاح الثغرة CVE-2024-27834 على هذه المنصات.

إذا كنت تستخدم macOS Ventura أو macOS Monterey، يمكنك تحديث Safari دون تحديث macOS عن طريق الانتقال إلى "إعدادات النظام > عام > تحديث البرنامج" والنقر على "مزيد من المعلومات..." تحت "التحديثات المتاحة".

بعد استغلال والإبلاغ عن 29 ثغرة Zero Day في مسابقة القرصنة في Vancouver هذا العام، جمع الباحثون الأمنيون مبلغًا قدره 1,132,500 دولار.

Manfred Paul ظهر كفائز وكسب 202,500 دولار نقدًا بعد تقديم مجموعة من ثغرات السيطرة عن بعد (RCE) ضد متصفح الويب Safari من Apple وثغرة RCE ثانوية مستهدفة ضعف التحقق من الكمية المحددة في الإدخال في متصفحات الويب Google Chrome و Microsoft Edge خلال اليوم الأول من مسابقة القرصنة.

في اليوم الثاني، استغل Manfred Paul ثغرة صفرية للكتابة خارج الحدود (OOB) للحصول على السيطرة عن بعد (RCE) والخروج من الحاوية (sandbox) في Mozilla Firefox عبر ثغرة ضعف في دالة خطيرة مكشوفة.

Google و Mozilla قامتا بإصلاح الثغرات الصفرية التي تم استغلالها في Pwn2Own Vancouver 2024 في غضون أيام قليلة بعد انتهاء المسابقة، حيث أصدرت Google التصحيحات بعد خمسة أيام و Mozilla بعد يوم واحد فقط.

ومع ذلك، نادرًا ما تستعجل الشركات في إصلاح الثغرات الأمنية التي تم استغلالها في Pwn2Own لأن مبادرة Zero Day Initiative التابعة لشركة Trend Micro تفصح علنًا عن تفاصيل الثغرات بعد مرور 90 يومًا.

قامت آبل أيضًا بإعادة تنزيل تحديثات الأمان التي تم إصدارها في مارس 2024 إلى iPhones وiPads القديمة، مما قام بإصلاح ثغرة zero-day في iOS والتي تم استغلالها.
 

تصلح Google خامس ثغرة Zero-Day في متصفح كروم التي استغلت في هجمات هذا العام
 

10 مايو 2024

أطلقت Google تحديثًا أمنيًا لمتصفح Chrome لإصلاح الثغرة الأمنية الخامسة   Zero-Day التي تم استغلالها منذ بداية العام.

الثغرة ذات الخطورة العالية المتتبعة برقم CVE-2024-4671 هي ثغرة " use after free" في مكون الرسوميات البصرية الذي يتعامل مع عملية عرض المحتوى على المتصفح.

كشفت Google أن الثغرة، التي اكتشفها وأبلغ عنها باحث مجهول، وتم استغلالها في هجمات.

Google على علم بوجود استغلال لثغرة CVE-2024-4671 

ثغرات use after free هي ثغرات أمنية تحدث عندما يستمر البرنامج في استخدام مؤشر بعد أن تم تحرير الذاكرة التي يشير إليها، بعد اكتمال العمليات الشرعية على تلك المنطقة.

بما أن الذاكرة التي تم تحريرها قد تحتوي الآن على بيانات مختلفة أو تُستخدم من قبل برنامج أو مكونات أخرى، فإن الوصول إليها قد يؤدي إلى تسرب البيانات، أو تنفيذ كود، أو تعطل النظام.

حلت Google الثغرة من خلال إصدار 124.0.6367.201/.202 لنظامي التشغيل Mac/Windows و124.0.6367.201 لنظام Linux.

لمستخدمي القناة "Extended Stable"، ستتوافر التصحيحات لأنظمة Mac وWindows، وسيتم توفيرها في وقت لاحق أيضًا.

يتم تحديث Chrome تلقائيًا عندما يكون هناك تحديث أمني متاح، ولكن يمكن للمستخدمين التحقق من أنهم يستخدمون أحدث إصدار عن طريق الانتقال إلى الإعدادات > حول Chrome، والسماح للتحديث بالانتهاء، ثم النقر على زر "إعادة التشغيل" لتطبيقه.

هذه الثغرة الأخيرة التي تمت معالجتها في متصفح Google Chrome هي الخامسة هذا العام، حيث تم اكتشاف ثلاث ثغرات أخرى خلال مسابقة القرصنة Pwn2Own في فانكوفر في مارس .2024

تتضمن القائمة الكاملة لثغرات يوم الصفر zero-day في Chrome التي تم إصلاحها منذ بداية عام 2024 أيضا ما يلي:

• CVE-2024-0519: ثغرة عالية الخطورة في الوصول إلى الذاكرة خارج الحدود ضمن محرك JavaScript V8 لـ Chrome، مما يسمح للمهاجمين عن بعد باستغلال صفحة HTML مصممة بشكل خاص، مما يؤدي إلى الوصول غير المصرح به إلى معلومات حساسة.

• CVE-2024-2887: ثغرة type confusion ذات خطورة عالية في معيار WebAssembly (Wasm). يمكن أن تؤدي إلى استغلال تنفيذ أكواد برمجية عن بُعد (RCE) باستخدام صفحة HTML مصممة بشكل ما.

• CVE-2024-2886: ثغرة استخدام بعد الإطلاق في واجهة برمجة التطبيقات WebCodecs المستخدمة من قبل تطبيقات الويب لترميز وفك ترميز الصوت والفيديو. استغلها المهاجمون عن بُعد لتنفيذ قراءات وكتابات تختارها عن طريق صفحات HTML مصممة بشكل ما، مما يؤدي إلى تنفيذ أكواد برمجية عن بُعد.

• CVE-2024-3159: ثغرة عالية الخطورة ناجمة عن قراءة بيانات غير مسموح بقرأتها في محرك JavaScript V8 لـ Chrome. استغلها المهاجمون عن بُعد باستخدام صفحات HTML مصممة بشكل خاص للوصول إلى البيانات خارج منطقة التخزين المخصصة، مما أدى إلى heap corruption يمكن استغلاله لاستخراج معلومات حساسة.
   

ثغرة عالية الخطورة في Fortinet تنفذ تعليمات برمجية عن بُعد (RCE) 
 

28 مايو 2024

  

أصدر الباحثون الأمنيون دليل إثبات المفهوم (PoC) لاستغلال ثغرة شديدة الخطورة في حل إدارة معلومات وأحداث الأمان (security information and event management SIEM) الخاص بشركة Fortinet، والتي تم تصحيحها في فبراير 2024.

تم تتبع هذه الثغرة تحت الرمز CVE-2024-23108، وهي ثغرة حقن أوامر اكتشفها وأبلغ عنها خبير الثغرات في Horizon3، Zach Hanley، تمكن من تنفيذ الأوامر عن بُعد كـ Root بدون الحاجة إلى مصادقة.

أفادت Fortinet: "تعدد عدم تحييد العناصر الخاصة المستخدمة في ثغرة أوامر نظام التشغيل [CWE-78] في مشرف FortiSIEM قد يسمح لمهاجم بعيد غير مصدق بتنفيذ أوامر غير مصرح بها عبر طلبات API المصممة".

تؤثر الثغرة CVE-2024-23108 على إصدارات FortiClient FortiSIEM 6.4.0 والإصدارات الأحدث، وقد قامت الشركة بتصحيحها في 8 فبراير 2024، جنبًا إلى جنب مع ثغرة أخرى في تنفيذ أوامر برمجية عن بُعد (RCE) (CVE-2024-23109) التي حصلت على درجة خطورة 10/10.

بعد أن أنكرت في البداية أن الثغرتين CVE-2024-23108 وCVE-2024-23109 حقيقيتين وزعمت أنهما نسخ مكررة من ثغرة مماثلة (CVE-2023-34992) تم تصحيحها في أكتوبر 2023، أعلنت Fortinet أيضًا أن الكشف عن CVEs كان "خطأ على مستوى النظام" لأنها تم إنشاؤها عن طريق الخطأ بسبب مشكلة في واجهة برمجة التطبيقات (API).

ومع ذلك، أكدت الشركة في النهاية أن كلاهما نسخ مكررة من CVE-2023-34992 مع نفس الوصف للثغرة الأصلية.

أفادت Fortinet بتحديثات أمان لتصحيح هذه الثغرة الأمنية، قام فريق الهجمات التابع لـ Horizon3 بمشاركة استغلال دليل إثبات المفهوم (PoC) ونشر تحليل تقني عميق.

أفاد Hanley: بينما حاولت التصحيحات لمشكلة PSIRT الأصلية، FG-IR-23-130، الهروب من المدخلات التي يتحكم فيها المستخدم عند هذه الطبقة من خلال إضافة أداة (wrapShellToken)، يوجد حقن أوامر من الدرجة الثانية عندما تُرسل بعض المعلمات إلى datastore.py.

وأضاف: سوف تترك محاولات استغلال CVE-2024-23108 رسالة تسجيل تحتوي على أمر فاشل مع datastore.py nfs test.

يساعد إثبات المفهوم (PoC) الذي أُصدر من قبل Horizon3 في تنفيذ الأوامر كـ Root على أي أجهزة FortiSIEM مكشوفة على الإنترنت وغير مصححة.

أصدر فريق الهجوم في Horizon3 أيضًا إثبات المفهوم (PoC) لثغرة حرجة في برنامج FortiClient Enterprise Management Server (EMS) من Fortinet، والتي يتم استغلالها حاليًا في الهجمات.

تتعرض ثغرات Fortinet للاستغلال بشكل متكرر - في كثير من الأحيان كـ zero-days - في هجمات الفدية والتجسس الإلكتروني المستهدفة لشبكات الشركات والحكومات.

على سبيل المثال، كشفت الشركة في فبراير 2024 أن المهاجمين الصينيين من مجموعة Volt Typhoon استخدموا ثغرتين في FortiOS SSL VPN (CVE-2022-42475 وCVE-2023-27997) لنشر برنامج حصان طروادة عن بعد (RAT) Coathanger، وهو سلالة برمجية تم استخدامها أيضًا مؤخرًا لإنشاء باب خلفي لشبكة عسكرية تابعة لوزارة الدفاع الهولندية.

ثغرة في نظام تشغيل Oracle WebLogic يجعله تحت هجوم نشط

4 يونيو 2024

أضافت وكالة الأمن السيبراني والبنية التحتية في الولايات المتحدة (CISA) ثغرة أمنية تؤثر على خادم Oracle WebLogic إلى فهرس الثغرات المستغلة المعروفة (Known Exploited Vulnerabilities - KEV)، مشيرة إلى وجود أدلة على استغلال نشط.

تم تتبع المشكلة على أنها CVE-2017-3506 (درجة CVSS: 7.4)، يتعلق الأمر بثغرة في حقن الأكواد في نظام التشغيل (OS) يمكن استغلالها للحصول على وصول غير مصرح به إلى الخوادم القابلة للتأثير والسيطرة الكاملة عليها.

كما أشارت CISA "يحتوي خادم Oracle WebLogic Server، وهو منتج ضمن مجموعة Fusion Middleware، على ثغرة في حقن الأوامر في نظام التشغيل تسمح للمهاجم بتنفيذ تعليمات برمجية عشوائية عبر طلب HTTP مصمم بشكل خاص ليتضمن مستند XML ضار". 

على الرغم من أن الوكالة لم تكشف عن طبيعة الهجمات التي تستغل الثغرة، فإن مجموعة تعدين العملات المشفرة المقرّة في الصين المعروفة باسم مجموعة Gang 8220 الملقبة أيضًا بـ (Water Sigbin) لديها تاريخ في استغلالها منذ بداية العام الماضي لتحويل الأجهزة غير المصححة إلى شبكة الروبوتات الخاصة بتعدين العملات المشفرة.

وفقًا لتقرير حديث نشرته شركة Trend Micro، فقد لوحظ استغلال مجموعة 8220 الثغرات في خادم Oracle WebLogic (CVE-2017-3506 و CVE-2023-21839) لإطلاق ملف تعدين العملات المشفرة في الذاكرة دون استخدام ملف بشكل موجه من خلال برنامج shell أو PowerShell script اعتمادًا على نظام التشغيل المستهدف.

أفاد الباحث الأمني Sunil Bharti: "استخدمت العصابة تقنيات التعتيم، مثل ترميز hexadecimal encoding لعناوين URL واستخدام بروتوكول HTTP عبر المنفذ 443، مما يسمح بتسليم حمولة متخفية بشكل سري."

"كان برنامج PowerShell script والملف الدفعي الناتج يتضمنان تشفيرًا معقدًا، باستخدام متغيرات البيئة لإخفاء التعليمات البرمجية الضارة داخل مكونات البرنامج لتبدو حميدة."

نظرًا للاستغلال النشط للثغرات CVE-2024-1086 و CVE-2024-24919، يُوصى بأن تقوم الوكالات الفيدرالية بتطبيق أحدث الإصلاحات بحلول 24 يونيو 2024 لحماية شبكاتها من التهديدات المحتملة.
 

احذر: مواقع مكافحة الفيروسات المزيفة حيث تنشر برامج ضارة لنظامي التشغيل Android وWindows
 

لوحظ أن المهاجمين يستخدمون مواقع ويب مزيفة تتنكر كحلول مشروعة لمكافحة الفيروسات من Avast وBitdefender وMalwarebytes لنشر برامج ضارة قادرة على سرقة المعلومات الحساسة من أجهزة Android وWindows.

أفاد Gurumoorthi Ramanathan، الباحث الأمني في شركة Trellix، "أن استضافة البرامج الضارة من خلال مواقع تبدو شرعية هو استغلال للمستهلكين، وخاصة أولئك الذين يسعون لحماية أجهزتهم من الهجمات الإلكترونية".

فيما يلي قائمة للمواقع المزيفة:

• avast-securedownload[.]com: يستخدم لتوزيع حصان طروادة SpyNote في شكل ملف حزمة Android ("Avast.apk")، الذي يطلب عند التثبيت أذونات تدخليه لقراءة الرسائل القصيرة وسجلات المكالمات، وتثبيت وحذف التطبيقات، والتقاط لقطات شاشة، وتتبع الموقع، وحتى تعدين العملات المشفرة.

• bitdefender-app[.]com: يستخدم لتوزيع ملف أرشيف ZIP ("setup-win-x86-x64.exe.zip" ) الذي ينشر برنامج Lumma الخبيث لسرقة المعلومات.

• malwarebytes[.]pro: يستخدم لتوزيع ملف أرشيف RAR ("MBSetup.rar") الذي ينشر برنامج StealC الخبيث لسرقة المعلومات.

أعلنت شركة الأمن السيبراني أنها اكتشفت أيضًا ملفًا ثنائيًا Trellix مزيفًا باسم "AMCoreDat.exe" يعمل كوسيط لإسقاط برنامج خبيث لسرقة المعلومات قادر على جمع معلومات الضحية، بما في ذلك بيانات المتصفح، وإرسالها إلى خادم بعيد.

حاليًا، ليس من الواضح كيف يتم توزيع هذه المواقع الوهمية، ولكن حملات مشابهة في الماضي استخدمت تقنيات مثل الإعلانات الضارة (malvertising) وتسميم محركات البحث (Search Engine Optimization SEO poisoning).

أصبحت برامج سرقة البيانات تهديدًا شائعًا بشكل متزايد، حيث يقوم مجرمو الإنترنت بالإعلان عن العديد من الإصدارات المخصصة بمستويات تعقيد مختلفة. يشمل ذلك برامج سرقة جديدة مثل Acrid وSamsStealer وScarletStealer وWaltuhium Grabber، وكذلك تحديثات للبرامج الموجودة مثل SYS01stealer (المعروف أيضًا باسم Album Stealer أو S1deload Stealer).

" كما ذكرت Kaspersky في تقرير حديث يشير ظهور المهاجمين بين الحين والآخر، جنبًا إلى جنب مع اختلاف وظائفهم وتعقيدهم بشكل كبير، إلى أن هناك طلبًا في السوق الإجرامي على السارقين".

كما قامت شركة الأمن السيبراني الروسية أيضًا بتفصيل حملة برامج ضارة تُعرف باسم Gipy تستغل شعبية أدوات الذكاء الاصطناعي (AI) من خلال الإعلان عن مولد صوتي مزيف يعتمد على الذكاء الاصطناعي عبر مواقع التصيد الاحتيالي.

بمجرد التثبيت، يقوم Gipy بتحميل برامج ضارة تابعة لجهات خارجية مستضافة على GitHub، تشمل برامج سرقة المعلومات مثل Lumma وRedLine وRisePro وLOLI Stealer، وعمال تعدين العملات المشفرة مثل Apocalypse ClipBanker، وأحصنة طروادة للوصول عن بعد مثل DCRat وRADXRat، والأبواب الخلفية مثل TrueClient.

يأتي هذا التطور في الوقت الذي اكتشف فيه الباحثون حصان طروادة مصرفيًا جديدًا لنظام Android يُدعى Antidot يتنكر كتحديث لـ Google Play لتسهيل سرقة المعلومات من خلال إساءة استخدام واجهات برمجة التطبيقات الخاصة بإمكانية الوصول وMediaProjection في Android.

أفادت شركة Symantec المملوكة لشركة Broadcom: "من حيث الوظائف، فإن Antidot قادر على تسجيل ضغطات المفاتيح، والهجمات المتراكبة، واستخراج الرسائل القصيرة، والتقاط الشاشة، وسرقة بيانات الاعتماد، والتحكم في الجهاز، وتنفيذ الأوامر التي يتلقاها من المهاجمين."