اضغط هنا لتصفح النشرة من الموقع

صباح الخير قراءنا الكرام،

مرحبًا بكم في العدد الجديد من نشرة أمن المعلومات والتي تتناول شهريًا أهم الأحداث الخاصة بأمن المعلومات، إضافةً إلى التوعية بمخاطر الفضاء الإلكتروني.

يرصد هذا العدد مجموعة من أبرز الأحداث في مجال أمن المعلومات، فضلًا عن الثغرات والهجمات الإلكترونية التي تهم المستخدمين.

أهم الأخبار:

• مجموعة NSO Group تشتغل اطبيق WhatsApp لتثبيت برنامج التجسس Pegasus حتى بعد الدعوى القضائية التي رفعتها شركة Meta.

• T-Mobile تؤكد تعرضها للاختراق في موجة حديثة من الهجمات على شركات الاتصالات.

• Tik Tok تطالب بإغلاق مكاتبها في كندا بعد "مراجعة للأمن القومي".

• ميزة جديدة من Google Pixel AI تستخدم الذكاء الاصطناعي لتحليل مكالمات الهاتف لاكتشاف الاحتيالات.

مخاطر وثغرات:

• ثغرة في جدار الحماية PAN-OS تحت الاستغلال النشط.

• مهاجمون يستغلون ثغرة جديدة في Fortinet VPN لسرقة بيانات الاعتماد.

• ثغرة خطيرة (RCE) في VMware vCenter Server تُستغل في الهجمات.

• Apple تصدر تحديثات عاجلة لمعالجة ثغرات جديدة مستغلة بنشاط.

مؤشرات وإحصائيات:

• هجمات برامج الفدية المعروفة Known Ransomware حسب المجموعة – Threatdown Powered by Malwarebytes

معلومة أمنية:

•  لا تدع مجرمي الإنترنت يسرقون مدخراتك: قم بتأمين حساباتك المالية

شاهد:

• خطورة الهندسة الاجتماعية

تعريفات:

• Pegasus

• T-Mobile

• Cisco

• واجهات برمجة التطبيقات (API)

• Malwarebytes

• ByteDance

• جدار الحماية (Firewall)

• عناوين الإنترنت IP Addresses

• VPN (الشبكة الخاصة الافتراضية)

• Volexity

• JSON

• VMware

• Mandiant

• DCE/RPC

• XSS (Cross-Site Scripting)

• هجمات الفدية(Ransomware)

• LockBit

• PLAY

• 8Base

• Akira          

مجموعة NSO Group تستغل تطبيق WhatsApp لتثبيت برنامج التجسس Pegasus حتى بعد الدعوى القضائية التي رفعتها شركة Meta
 

18 نوفمبر 2024

كشفت وثائق قانونية صادرة كجزء من النزاع القضائي المستمر بين WhatsApp التابعة لشركة Meta ومجموعة NSO Group أن الشركة المطورة لبرنامج التجسس Pegasus استخدمت عدة ثغرات لاستهداف تطبيق المراسلة. وتشمل هذه الثغرات واحدة تم استغلالها حتى بعد أن رفعت Meta دعوى قضائية ضدها. 
    
أظهرت الوثائق أيضًا أن مجموعة NSO تمكنت مرارًا من إيجاد طرق لتثبيت أداة المراقبة المتطفلة على أجهزة الضحايا، على الرغم من الجهود التي بذلتها WhatsApp لتعزيز دفاعاتها ضد هذه التهديدات.  

في مايو 2019، أعلنت WhatsApp أنها نجحت في إحباط هجوم سيبراني متطور استغل نظام مكالمات الفيديو الخاص بها لتسليم برمجية Pegasus الخبيثة بشكل خفي. استغل الهجوم حينها ثغرة جديدة تم تتبعها باسم CVE-2019-3568 (بدرجة خطورة CVSS تبلغ 9.8)، وهي ثغرة خطيرة من نوع تجاوز سعة المخزن المؤقت (Buffer Overflow) في وظيفة مكالمات الصوت.  

كشفت الوثائق القانونية أن مجموعة NSO Group طورت وسيلة تثبيت أخرى تُعرف باسم Erised، استغلت أيضًا خوادم WhatsApp لتثبيت برنامج التجسس Pegasus هذا الهجوم، الذي يعتمد على الاستغلال دون تفاعل من الضحية (Zero-Click Exploit)، تمكن من اختراق هواتف الضحايا دون الحاجة إلى أي إجراء منهم. ما بعد مايو 2020، مما يشير إلى أنه استُخدم حتى بعد رفع WhatsApp دعوى قضائية ضد المجموعة في أكتوبر 2019.

يُعتقد أن Erised هو واحد من العديد من قنوات الهجوم – التي تُعرف مجتمعة باسم Hummingbird- التي طورتها مجموعة NSO لاستغلال WhatsApp كوسيط لتثبيت برنامج Pegasus تشمل هذه القنوات HeavenوEden، حيث يُعتبر الأخير الاسم الرمزي للثغرة CVE-2019-3568، والتي استُخدمت لاستهداف حوالي 1,400 جهاز.

وفقًا للوثائق القانونية التي تم الكشف عنها، اعترفت مجموعة NSO بأنها طورت هذه الثغرات من خلال استخراج وإعادة ترجمة الكود المصدري لتطبيق WhatsApp. قامت بالهندسة العكسية للتطبيق وتصميم واستخدام "خادم تثبيت WhatsApp" (WIS) خاص بها. أرسلت رسائل مشوهة (لا يمكن لتطبيق WhatsApp الشرعي إرسالها) عبر خوادم WhatsApp لتثبيت برنامج Pegasus على أجهزة الضحايا. كل ذلك يعد انتهاكًا للقوانين الفيدرالية والمحلية، بالإضافة إلى شروط استخدام WhatsApp.

اعتمدت Heaven على رسائل مشوهة لإجبار خوادم إشارات WhatsApp والتي تُستخدم للمصادقة مع التطبيق المثبت –لتوجيه أجهزة الضحايا إلى خادم وسيط تابع لمجموعة NSO.  

التحديثات الأمنية التي أجرتها WhatsApp على جانب الخادم في نهاية عام 2018 دفعت مجموعة NSO Group إلى تطوير استغلال جديد يُدعى Eden بحلول فبراير 2019، والذي ألغى الحاجة إلى استخدام خوادم وسيطة تابعة لـ NSO لصالح خوادم وسيطة تديرها WhatsApp.

وفقًا للوثائق، رفضت NSO الإفصاح عما إذا كانت قد طورت وسائل اختراق إضافية تعتمد على WhatsApp بعد 10 مايو 2020. كما اعترفت بأن وسائل الاختراق الخاصة بها استُخدمت لتثبيت برنامج Pegasus بنجاح على "ما بين مئات إلى عشرات الآلاف" من الأجهزة.

الوثائق تكشف أيضًا نظرة شاملة عن كيفية تثبيت برنامج Pegasus على أجهزة الضحايا باستخدام WhatsApp. وتؤكد أن مجموعة NSO نفسها، وليس العملاء، هي من تدير البرنامج التجسسي، ما يتعارض مع ادعاءات الشركة السابقة. 

تنص الوثائق على أن "دور عملاء NSO محدود للغاية". "كل ما يحتاجه العميل هو إدخال رقم الجهاز المستهدف والضغط على 'تثبيت'، ليقوم Pegasus بتثبيت البرنامج عن بُعد دون أي تدخل إضافي. بمعنى آخر، العميل يطلب البيانات المستهدفة، وتتحكم NSO في كل جانب من عملية جمع وتسليم البيانات من خلال تصميم برنامجPegasus".

أكدت المجموعة مرارًا أن منتجها مصمم لمكافحة الجرائم الخطيرة والإرهاب. زعمت أن العملاء هم المسؤولون عن إدارة النظام والوصول إلى المعلومات الاستخباراتية التي يتم جمعها.

في سبتمبر 2024، قدمت شركة Apple طلبًا لسحب دعواها القضائية ضد NSO Group طوعًا، مشيرة إلى مخاطر قد تؤدي إلى كشف معلومات استخباراتية حرجة تهدد الأمن.

في السنوات الأخيرة، عززت Apple ميزاتها الأمنية لمواجهة هجمات برامج التجسس التجارية. ومن بين هذه الخطوات:

• إطلاق وضع Lockdown Mode قبل عامين لتقوية دفاعات الأجهزة.

• تقليل وظائف التطبيقات مثل FaceTimeو.Messages 

• حظر ملفات تعريف التكوين. 

ظهرت تقارير حول آلية أمان جديدة في النسخ التجريبية من iOS 18.2، تتضمن إعادة تشغيل تلقائية للهاتف إذا لم يتم إلغاء قفله لمدة 72 ساعة. يتطلب ذلك من المستخدمين، بمن فيهم وكالات إنفاذ القانون التي قد يكون لديها وصول إلى هواتف المشتبه بهم، إدخال كلمة المرور مرة أخرى للوصول إلى الجهاز.

أكدت شركة Magnet Forensics، التي تقدم أداة لاستخراج البيانات تُدعى GrayKey، هذه الميزة الجديدة المعروفة باسم "إعادة التشغيل عند الخمول" (Inactivity Reboot). وأوضحت أن التفعيل "مرتبط بحالة القفل للجهاز"، وأنه "بمجرد دخول الجهاز في حالة القفل وعدم إلغاء قفله خلال 72 ساعة، سيقوم بإعادة التشغيل تلقائيًا."

"بسبب مؤقت إعادة التشغيل الجديد المرتبط بالخمول، أصبح من الضروري أكثر من أي وقت مضى تصوير الأجهزة بسرعة لضمان الحصول على أكبر قدر ممكن من البيانات المتاحة." 

T-Mobile تؤكد تعرضها للاختراق في موجة حديثة من الهجمات على شركات الاتصالات

16 نوفمبر 2024

أكدت شركة T-Mobile تعرضها للاختراق ضمن موجة الهجمات الأخيرة التي استهدفت شركات الاتصالات، ونُسبت إلى جهات تهديد صينية بهدف الوصول إلى الاتصالات الخاصة، وسجلات المكالمات، وطلبات المعلومات من جهات إنفاذ القانون.

أفادت الشركة في تصريح لصحيفة "وول ستريت جورنال"، التي كانت أول من نشر عن الاختراق: " T-Mobile تراقب عن كثب هذا الهجوم واسع النطاق على مستوى الصناعة. وفي الوقت الحالي، لم تتأثر أنظمتنا وبياناتنا بشكل كبير، وليس لدينا أي دليل على تأثر معلومات العملاء."

وأضافت الشركة: "سنواصل مراقبة الوضع عن كثب، ونعمل مع شركائنا في الصناعة والجهات المعنية."

أصدرت شركة T-Mobile بيانًا مشابهًا، أكدت فيه أنها لم تجد أي دليل على الوصول إلى بيانات العملاء أو استخراجها.  

صرحت الشركة "بفضل ضوابطنا الأمنية وهيكلية شبكتنا والمراقبة والاستجابة الدقيقة، لم نر أي تأثيرات كبيرة على أنظمة T-Mobile أو بياناتها."

وأضافت: "ليس لدينا أي دليل على الوصول إلى معلومات العملاء أو غيرها من المعلومات الحساسة أو استخراجها، كما حدث مع شركات أخرى."

في الشهر الماضي، أفادت صحيفة وول ستريت جورنال بأن جهات تهديد مدعومة من الدولة الصينية تُعرف باسم Salt Typhoon اخترقت عدة شركات اتصالات أمريكية، بما في ذلك AT&T، Verizon، وLumen.

Salt Typhoon (المعروفة أيضًا بأسماء Earth Estries، FamousSparrow،Ghost Emperor، و(UNC2286 هي مجموعة قرصنة متقدمة مدعومة من الدولة الصينية وناشطة منذ عام 2019 على الأقل. عادةً ما تستهدف هذه المجموعة كيانات حكومية وشركات اتصالات في جنوب شرق آسيا.

وفقًا لـ "وول ستريت جورنال"، مكّنت هذه الحملة الاختراقية الجهات المهاجمة من استهداف خطوط الهواتف المحمولة لكبار مسؤولي الأمن القومي والسياسة في الحكومة الأمريكية، مما أتاح لهم سرقة سجلات المكالمات، والرسائل النصية، وبعض التسجيلات الصوتية.

في بيان مشترك صدر في وقت سابق من هذا الأسبوع عن مكتب التحقيقات الفيدرالي (FBI) ووكالة الأمن السيبراني وأمن البنية التحتية (CISA)، أكدت الحكومة الأمريكية أن الجهات المهددة قامت بسرقة بيانات المكالمات والاتصالات من الأفراد المستهدفين، بالإضافة إلى معلومات تتعلق بطلبات جهات إنفاذ القانون المقدمة لشركات الاتصالات.

وجاء في البيان المشترك:  
"لقد حددنا أن جهات مرتبطة بجمهورية الصين الشعبية اخترقت شبكات في عدة شركات اتصالات لتمكين سرقة بيانات سجلات مكالمات العملاء، واختراق الاتصالات الخاصة لعدد محدود من الأفراد المشاركين بشكل رئيس في الأنشطة الحكومية أو السياسية، ونسخ بعض المعلومات التي كانت موضوعًا لطلبات إنفاذ القانون الأمريكي بناءً على أوامر قضائية."

وأضاف البيان:
"نتوقع أن تتوسع معرفتنا بهذه الاختراقات مع استمرار التحقيق."

أُجريت هذه الهجمات باستخدام ثغرات في أجهزة التوجيه من نوع Cisco المسؤولة عن توجيه حركة مرور الإنترنت. ومع ذلك، صرحت Cisco سابقًا بأنه لا توجد مؤشرات على اختراق أجهزتها خلال هذه الهجمات.

يعد هذا الاختراق التاسع الذي تتعرض له T-Mobile منذ عام 2019. وتشمل الحوادث الأخرى ما يلي:  

• عام 2019: كشفت T-Mobile عن معلومات حسابات عدد غير محدد من عملاء الدفع المسبق.

• مارس 2020: تأثر موظفو T-Mobile بانتهاك كشف معلوماتهم الشخصية والمالية.

• ديسمبر :2020 تمكنت جهات تهديد من الوصول إلى معلومات الشبكة الخاصة بالعملاء (أرقام الهواتف، سجلات المكالمات).

• فبراير 2021: تم الوصول إلى تطبيق داخلي لتطبيقات T-Mobile من قبل مهاجمين مجهولين دون تفويض.

• أغسطس 2021: نفذ المهاجمون اختراقًا لشبكة الشركة بعد استهداف بيئة اختبار T-Mobile.

• أبريل 2022: اخترقت عصابة الابتزاز The Lapsus$ شبكة T-Mobile باستخدام بيانات اعتماد مسروقة.

• يناير 2023: أكدت T-Mobile أن مهاجمين سرقوا معلومات شخصية لعدد 37 مليون عميل عبر استغلال واجهة برمجة تطبيقات (API) ضعيفة في نوفمبر 2022.

• مايو 2023: كشفت T-Mobile عن اختراق أثر في 836 عميلًا فقط، ولكنه كشف معلومات حساسة.

Tik Tok تطالب بإغلاق مكاتبها في كندا بعد "مراجعة للأمن القومي"

8 نوفمبر 2024

أمرت حكومة كندا شركة TikTok Technology Canada Inc. بإغلاق مكاتبها في البلاد بعد مراجعة للأمن القومي.

تم اتخاذ هذا القرار وفقًا لقانون استثمار كندا، الذي يسمح بمراجعة الاستثمارات الأجنبية التي قد تشكل تهديدًا للأمن القومي الكندي. وذكر وزير الابتكار والعلوم والصناعة في كندا: "نتيجة لعملية مراجعة متعددة الخطوات للأمن القومي، والتي تشمل فحصًا دقيقًا من قبل مجتمع الأمن القومي والاستخبارات الكندي، أمرت حكومة كندا بإنهاء الأعمال التجارية الكندية التي تديرها TikTok Technology Canada Inc.، تتخذ الحكومة إجراءات لمعالجة المخاطر الأمنية الوطنية المحددة المتعلقة بعمليات ByteDance Ltd. في كندا من خلال تأسيس TikTok Technology Canada Inc.، وقد تم اتخاذ القرار بناءً على المعلومات والأدلة التي تم جمعها خلال فترة المراجعة وبناءً على نصائح مجتمع الأمن والاستخبارات في كندا وشركاء الحكومة الآخرين."

هذا لا يعني أن الكنديين لن يكونوا قادرين على الوصول إلى منصة الوسائط الاجتماعية الشهيرة. بل يعني فقط أن الشركة الصينية يجب أن تغلق عملياتها الكندية في Toronto وVancouver.

أفادت كندا أن قرار استخدام المواطنين للمنصة هو خيار شخصي، لكنها تشجع الكنديين على استشارة الإرشادات التي أصدرها مركز الأمن السيبراني الكندي التابع لهيئة الاتصالات الأمنية الكندية لمساعدتهم على تقييم هذه المخاطر.

إحدى النقاط الرئيسة في إرشاداتهم هي، "الأمن قبل الراحة"، التي تقول: "قد يكون من المريح أن يكون لديك تطبيق يعرف مكانك دائمًا، أو يمكنه الوصول إلى صورك دون موافقة، لكن هذا ليس الخيار الأكثر أمانًا. كن على دراية بالميزات والعناصر التي يمكن أن يصل إليها التطبيق على جهازك، وتأكد من أنك تحد من الأذونات."

نقطة أخرى مهمة في هذه الحالة هي، "فكر في المكان الذي يتم تخزين بياناتك فيه"، التي تذكر الناس بالتفكير في قوانين أي دولة ستنطبق على معلوماتك ونشاطك على المنصة.

أعلنت TikTok: "إغلاق مكاتب TikTok في كندا وتدمير مئات من الوظائف المحلية الجيدة ليس في مصلحة أي شخص، وأمر الإغلاق سيؤدي إلى ذلك. سنطعن في هذا الأمر في المحكمة."

لقد جلبت ملكية TikTok الصينية مشاكل في دول أخرى أيضًا. ففي أبريل 2024، أفادت مختبرات Malwarebytes عن كيفية موافقة مجلس الشيوخ الأمريكي على مشروع قانون من شأنه حظر TikTok فعليًّا في البلاد ما لم تتنازل شركة ByteDance الصينية عن حصتها في التطبيق الشهير. هذا القانون قيد الطعن حاليًّا في المحكمة من قبل منصة الوسائط الاجتماعية الشهيرة.
 

ميزة جديدة من Google Pixel AI تستخدم الذكاء الاصطناعي لتحليل مكالمات الهاتف لاكتشاف الاحتيالات

   13 نوفمبر 2024

تضيف Google ميزة جديدة للحماية ضد الاحتيال مدعومة بالذكاء الاصطناعي تقوم بمراقبة محادثات المكالمات الهاتفية على أجهزة Google Pixel لاكتشاف الأنماط التي تشير إلى احتمال وجود محتال.

كما أضافت Google أيضًا ميزة حماية جديدة في الوقت الفعلي إلى Google Play Protect للكشف عن التطبيقات غير الآمنة على متجر Google Play.

تم تفعيل هذه الميزات على أجهزة Google Pixel 6 والنماذج الأحدث من السلسلة، ومن المتوقع أن تصل إلى مزيد من أجهزة Android من شركات تصنيع أخرى في الأشهر المقبلة.

سيعمل النظام في الوقت الفعلي من خلال اكتشاف أنماط المحادثة المرتبطة عادة بالاحتيال، مثل؛ المتصلين الذين ينتحلون شخصيات شركات أو المكالمات العاجلة التي تلي تنبيهات الاختراق.

عند اكتشاف المكالمة على أنها احتيالية، سيظهر إشعار على الهاتف لتحذير المستخدم بنظام Android، مع سؤال إذا كان يرغب في إنهاء المكالمة الهاتفية.

تحذير جديد من عملية احتيال تظهر على أجهزة Google Pixel

على الرغم من أن جميع المعالجات تتم على الجهاز، اختارت Google أن تكون الميزة غير مفعلة بشكل افتراضي، مما يسمح للمستخدمين بتفعيلها من خلال إعدادات تطبيق الهاتف أو حتى أثناء مكالمة معينة.

اكتشاف مكالمات الاحتيال المدعومة بالذكاء الاصطناعي:

الميزة الأولى التي أعلنت عنها جوجل هي نظام جديد لمكافحة الاحتيال مدعوم بالذكاء الاصطناعي يحلل المحادثات الهاتفية النشطة للكشف عما إذا كان المتصل محتالًا.

ستعمل النسخة الأولى من نظام مكافحة الاحتيال فقط للمكالمات التي تتم باللغة الإنجليزية، وهي حاليًّا في مرحلة الإطلاق لمستخدمي Google Pixel 6 وما بعده في الولايات المتحدة.

وأوضحت Google: "نموذج الذكاء الاصطناعي المتقدم على الجهاز، Gemini Nano، يدير اكتشاف الاحتيال في أجهزة Pixel 9."

وأضافت الشركة: "كجزء من التزامنا بتوفير ميزات الذكاء الاصطناعي القوية لأجهزة أكثر، تتوافر هذه الحماية المدعومة بالذكاء الاصطناعي لمستخدمي Pixel 6+ بفضل نماذج تعلم الآلة المتقدمة من Google على الأجهزة."

نظام مكافحة برامج التجسس:

الميزة الثانية هي "الكشف المباشر عن التهديدات" في Google Play Protect، الأداة الافتراضية لمكافحة البرمجيات الخبيثة والأمان في Android، التي تحمي المستخدمين في الوقت الفعلي.

أعلنت Google: " أن يقوم Play Protect بتحليل إشارات سلوكية تتعلق باستخدام الأذونات الحساسة والتفاعل مع التطبيقات والخدمات الأخرى."

"مع الكشف عن التهديدات الحية، إذا تم العثور على تطبيق ضار، ستتلقى الآن إشعارًا في الوقت الفعلي، مما يتيح لك اتخاذ إجراء فوري لحماية جهازك."

تتم عملية الفحص والاكتشاف محليًّا على الجهاز من خلال نواة الكمبيوتر الخاصة بـ Android، وذلك لحماية خصوصية المستخدمين.

أوضحت Google أنه في الإصدار الأولي، سيركز النظام الجديد على برامج "التتبع" (stalkerware) التي تجمع البيانات عن الضحية بصمت دون موافقتها أو علمها.

وفي المستقبل، ستتم إضافة المزيد من أنواع التطبيقات الضارة، مثل البرمجيات الخبيثة المحتملة، وبرامج الإعلانات المزعجة، وبرامج التروجان المصرفية، وبرامج التجسس.

ثغرة في جدار الحماية PAN-OS تحت الاستغلال النشط 
 

16 نوفمبر 2024

أصدرت شركة Palo Alto Networks مؤشرات اختراق جديدة (IoCs) بعد يوم واحد من تأكيدها استغلال ثغرة اليوم صفر تؤثر في واجهة إدارة جدار الحماية الخاص بـ PAN-OS بشكل نشط في الهجمات.

أشارت الشركة إلى أنها رصدت نشاطًا خبيثًا مصدره عناوين IP التالية، والتي تستهدف واجهة إدارة PAN-OS على الويب عندما تكون قابلة للوصول عبر الإنترنت:

• 136.144.17[.]*  

• 173.239.218[.]251

• 216.73.162[.]*

حذرت شركة Palo Alto Networks من أن عناوين IP المذكورة قد تمثل "شبكات VPN تابعة لأطراف ثالثة مع نشاط مستخدم شرعي ينطلق من هذه العناوين إلى وجهات أخرى."

أشارت الشركة في تحديثها التحذيري إلى أن الثغرة تُستغل لنشر Web Shell على الأجهزة المخترقة، مما يمكّن المهاجمين من الحصول على وصول دائم عن بُعد.  

• لم يتم تخصيص معرف CVE لهذه الثغرة حتى الآن.  

• تحمل الثغرة درجة CVSS تبلغ 9.3، مما يشير إلى خطورة حرجة.  

• تتيح تنفيذ أوامر عن بُعد بدون مصادقة (Unauthenticated Remote Command Execution).  

• لا تتطلب أي تفاعل من المستخدم أو امتيازات، وتم تصنيف تعقيد الهجوم بأنه "منخفض".

تخفيف الخطورة:  

• في حال تم تقييد الوصول إلى واجهة إدارة جدار الحماية على مجموعة محدودة من عناوين IP، تنخفض خطورة الثغرة إلى درجة "عالية" مع درجة CVSS تبلغ 7.5، حيث سيتعين على المهاجمين الحصول على وصول مميز إلى تلك العناوين أولًا.

• في 8 نوفمبر 2024، بدأت الشركة بتوجيه العملاء لتأمين واجهات إدارة جدران الحماية الخاصة بهم عقب تقارير عن وجود ثغرة لتنفيذ أوامر عن بُعد (RCE). أكدت الشركة أن الثغرة استُغلت في عدد "محدود" من الحالات.

• لم تتوافر حتى الآن تفاصيل حول كيفية اكتشاف الثغرة أو هوية المهاجمين أو الأهداف المستهدفة.  

• منتجات Prisma Access وCloud NGFW غير متأثرة بهذه الثغرة. 

لم يتم إصدار تصحيحات لمعالجة هذه الثغرة حتى الآن، مما يجعل من الضروري أن يتخذ المستخدمون خطوات فورية لتأمين الوصول إلى واجهة الإدارة إذا لم يتم ذلك بالفعل.  

وفقًا لوكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) يأتي هذا التحذير في وقت يتم فيه استغلال ثلاث ثغرات حرجة مختلفة في أداة Expedition   التابعة لشركة Palo Alto Networks بشكل نشط، وهي:

• CVE-2024-5910 

• CVE-2024-9463 

• CVE-2024-9465 

في هذه المرحلة، لا توجد أدلة تشير إلى أن هذه الأنشطة مرتبطة ببعضها البعض.

مهاجمون يستغلون ثغرة جديدة في Fortinet VPN لسرقة بيانات الاعتماد
 

18 نوفمبر 2024
 
  

مهاجمون صينيون يستخدمون أداة مخصصة تُدعى "DeepData" لاستغلال ثغرة جديدة في VPN Client الخاص بـ Fortinet FortiClient على نظام Windows لسرقة بيانات الاعتماد. 

تُمكّن الثغرة المهاجمين من استخراج بيانات الاعتماد من الذاكرة بعد أن يقوم المستخدم بالتحقق من الهوية باستخدام جهاز VPN.

أفاد باحثون من شركة Volexity أنهم اكتشفوا هذه الثغرة في وقت سابق، وقاموا بإبلاغ شركة Fortinet بها. ومع ذلك، لم يتم إصلاح المشكلة حتى الآن، ولم يتم تخصيص معرف CVE لها.

"أفادت Volexity بأن هذه الثغرة تم إبلاغها إلى Fortinet في 18 يوليو 2024، وأقرت Fortinet بالمشكلة في 24 يوليو 2024،" حسبما يوضح التقرير.

"حتى وقت كتابة هذا التقرير، لا تزال هذه المشكلة دون حل، ولا تزال Volexity ليست على دراية بأي رقم CVE مخصص لها".

تتم الهجمات من قبل قراصنة صينيين يُطلق عليهم اسم "BrazenBamboo"، وهم معروفون بتطوير ونشر عائلات البرمجيات الخبيثة المتقدمة التي تستهدف أنظمة Windows وmacOS وiOS وAndroid في عمليات المراقبة.

تشرح Volexity أن المهاجمين يستخدمون العديد من البرمجيات الخبيثة كجزء من هجماتهم، بما في ذلك البرمجيات الخبيثة LightSpy وDeepPost.

• LightSpy هو برنامج تجسس متعدد الأنظمة لجمع البيانات، وتسجيل ضغطات المفاتيح، وسرقة بيانات الاعتماد من المتصفحات، ومراقبة الاتصالات.

• DeepPost هو برنامج خبيث يُستخدم لسرقة البيانات من الأجهزة المُصابة.

يركز تقرير Volexity على DeepData، وهي أداة مخصصة للاستغلال بعد الهجوم مصممة لنظام Windows، والتي تستخدم العديد من الإضافات لسرقة البيانات المستهدفة.

في أحدث إصدار له، الذي تم رصده الصيف الماضي، يتضمن DeepData إضافة لـ FortiClient تستغل ثغرة اليوم صفر في المنتج لاستخراج بيانات الاعتماد (أسماء المستخدمين وكلمات المرور) ومعلومات خوادم VPN.

يقوم DeepData بالعثور على وفك تشفير كائنات JSON في ذاكرة عملية FortiClient حيث تحتفظ ببيانات الاعتماد، ثم يقوم باستخراجها إلى خادم المهاجم باستخدام DeepPost.

من خلال اختراق حسابات VPN، يمكن لـ BrazenBamboo الحصول على الوصول الأولي إلى الشبكات المؤسسية، حيث يمكنهم بعد ذلك الانتشار بشكل أفقي، والوصول إلى الأنظمة الحساسة، وتوسيع حملات التجسس بشكل عام.
 

ثغرة خطيرة (RCE) في VMware vCenter Server تُستغل في الهجمات
 

18 نوفمبر 2024

حذَّرت شركة Broadcom من أن المهاجمين يستغلون ثغرتين في VMware vCenter Server، من بينهما ثغرة خطيرة لتنفيذ التعليمات البرمجية عن بُعد تحمل الرمز CVE-2024-38812. 

تم الإبلاغ عن هذه الثغرة بواسطة باحثي الأمن في TZL خلال مسابقة Matrix Cup الصينية لعام 2024. تنجم الثغرة عن ضعف في تجاوز سعة الذاكرة heap overflow في تنفيذ بروتوكول DCE/RPC الخاص بـ vCenter، وتؤثر في المنتجات التي تحتوي على vCenter، بما في ذلك VMware vSphere وVMware Cloud Foundation.

الثغرة الثانية التي يتم استغلالها حاليًّا (والتي أبلغ عنها نفس الباحثين) هي ثغرة تصعيد الامتيازات، التي تحمل الرمز CVE-2024-38813، وتتيح للمهاجمين تصعيد الامتيازات إلى مستوى root عبر حزمة شبكية مصممة خصيصًا.

"تحديث الإرشادات الأمنية لتأكيد أن شركة VMware التابعة لـ Broadcom أكدت استغلال الثغرتين CVE-2024-38812 وCVE-2024-38813 بشكل نشط في الهجمات"، حسبما ذكرت Broadcom.

أصدرت الشركة تحديثات أمنية في سبتمبر لإصلاح كلتا الثغرتين. ومع ذلك، وبعد حوالي شهر، قامت بتحديث الإرشادات الأمنية للتحذير من أن التصحيح الأصلي للثغرة CVE-2024-38812 لم يعالج المشكلة بالكامل، وشجعت المسؤولين بشدة على تطبيق التصحيحات الجديدة.

لا توجد حلول بديلة لهذه الثغرات الأمنية، لذا يُنصح العملاء المتضررون بتطبيق أحدث التحديثات فورًا لمنع الهجمات التي تستغلها بشكل نشط..

كما أصدرت Broadcom إرشادات إضافية تحتوي على معلومات حول كيفية نشر التحديثات الأمنية على الأنظمة المتأثرة، بالإضافة إلى مشكلات معروفة قد تؤثر على العملاء الذين قاموا بالفعل بالترقية. 

في يونيو، أصلحت الشركة ثغرة مشابهة في vCenter Server (CVE-2024-37079)، يمكن للمهاجمين استغلالها أيضًا عبر حزم شبكية مصممة خصيصًا.

غالباً ما تكون ثغرات VMware vCenterهدفًا للمهاجمين، بما في ذلك عصابات الفدية ومجموعات القرصنة المدعومة من الدول. على سبيل المثال:

• في يناير، كشفت Broadcom أن قراصنة استغلوا ثغرة خطيرة في vCenter Server (CVE-2023-34048) منذ أواخر 2021.

• استخدمت هذه المجموعة (المعروفة بـ UNC3886 حسب شركة Mandiant) الثغرة لنشر برمجيات خبيثة خلفية مثل VirtualPitaو VirtualPie على أجهزة ESXi عبر حزم vSphere Installation Bundles (VIBs) خبيثة. 

Apple تصدر تحديثات عاجلة لمعالجة ثغرات جديدة مستغلة بنشاط 
 

20 نوفمبر 2024

أصدرت شركة Apple تحديثات أمان لأنظمة iOS وiPadOS وmacOS وvisionOS ومتصفح الويب Safari لمعالجة ثغرتين جديدتين تم استغلالهما بنشاط. 

الثغرات المُعالجة هي:  

• CVE-2024-44308 (درجة CVSS: 8.8): ثغرة أمنية في JavaScriptCore يمكن أن تؤدي إلى تنفيذ تعليمات برمجية عشوائية عند معالجة محتوى ويب خبيث.

• CVE-2024-44309 (درجة CVSS: 6.1): ثغرة في إدارة ملفات تعريف الارتباط (Cookies) في WebKit يمكن أن تؤدي إلى هجوم برمجي عبر المواقع (XSS) عند معالجة محتوى ويب خبيث. 

 
أعلنت الشركة أنها قامت بمعالجة الثغرتين CVE-2024-44308 وCVE-2024-44309  من خلال تحسين عمليات التحقق وإدارة الحالة على التوالي. 

لا يُعرف الكثير عن طبيعة الاستغلال بدقة، ولكن Apple أقرت بأن الثغرتين "ربما تم استغلالهما بنشاط على أنظمة Mac القائمة على معالجات Intel".

تم الإبلاغ عن اكتشاف الثغرتين بواسطة Clément Lecigne وBenoît Sevens من مجموعة تحليل التهديدات (TAG) التابعة لشركة Google، مما يشير إلى أنه من المحتمل أن يكون قد تم استخدامهما كجزء من هجمات مستهدفة بدقة تدعمها الحكومات أو هجمات باستخدام برامج تجسس مرتزقة.

التحديثات متوافرة للأجهزة وأنظمة التشغيل التالية:

iOS 18.1.1 وiPadOS 18.1.1 

• iPhone XS والأحدث  

• iPad Pro بشاشة 13 بوصة، iPad Pro بشاشة 12.9 بوصة الجيل الثالث والأحدث  

• iPad Pro بشاشة 11 بوصة الجيل الأول والأحدث  

• iPad Air الجيل الثالث والأحدث  

• iPad الجيل السابع والأحدث  

• iPad mini الجيل الخامس والأحدث  

iOS 17.7.2 وiPadOS 17.7.2 

• iPhone XS والأحدث  

• iPad Pro بشاشة 13 بوصة، iPad Pro بشاشة 12.9 بوصة الجيل الثاني والأحدث  

• iPad Pro بشاشة 10.5 بوصة  

• iPad Pro بشاشة 11 بوصة الجيل الأول والأحدث  

• iPad Air الجيل الثالث والأحدث  

• iPad الجيل السادس والأحدث  

• iPad mini الجيل الخامس والأحدث  

macOS Sequoia 15.1.1 لأجهزة Mac التي تعمل بنظام macOS Sequoia  

visionOS 2.1.1 لجهاز Apple Vision Pro  

Safari 18.1.1 لأجهزة Mac التي تعمل بنظام macOS Ventura وmacOS Sonoma

حتى الآن، عالجت شركة Apple إجمالي أربع ثغرات اليوم صفر في برامجها هذا العام، بما في ذلك واحدة (CVE-2024-27834) تم استعراضها في مسابقة الاختراق Pwn2Own في Vancouver. وتم تصحيح الثغرات الثلاث الأخرى في يناير ومارس 2024.

يُنصح المستخدمون بتحديث أجهزتهم إلى أحدث إصدار في أقرب وقت ممكن لحمايتها من التهديدات المحتملة.

هجمات برامج الفدية المعروفة Known Ransomware حسب المجموعة – Threatdown Powered by Malwarebytes

* ThreatDown: شركة تعمل على اكتشاف البرامج الضارة ومعالجتها

• استمرت أعداد هجمات الفدية المعروفة في الزيادة بشكل مستمر، زادت هجمات الفدية المعروفة بنسبة 33% ما بين يوليو 2023 ويونيو 2024، مقارنة بالعام السابق.

   

• رافق نمو الهجمات تحول عدد صغير من العصابات الكبيرة إلى عدد أكبر من العصابات الصغيرة، مما يشير إلى أن هجمات الفدية أصبحت أسهل، وانخفض حاجز الدخول للمجرمين.

   

• ارتفعت حصة هجمات برامج الفدية التي نفذتها العصابات خارج قائمة أفضل 15 من 25٪ إلى 31٪، بينما شهدت مجموعة LockBit، تقلص حصتها، حتى مع تسجيلها زيادة في الهجمات.

   

• العصابات الطامحة للوصول إلى المركز الأول، مثل PLAYو8BaseوAkira، زادت من نشاطها بشكل ملحوظ، لكنها لم تقترب من تحقيق نفس تأثير LockBit.

لا تدع مجرمي الإنترنت يسرقون مدخراتك: قم بتأمين حساباتك المالية  
 

عملية احتيال ذكية وحساب بنكي فارغ:

ألقت Emily نظرة على هاتفها، فلاحظت رسالة نصية من البنك "هل أجريت هذه المعاملة؟ أجب بنعم أو لا ".

عبست Emily؛ فهي لم تقم بأي عمليات شراء ذلك اليوم. ربما كان مجرد خطأ تقني.

ردّت بـ "لا"، وفي غضون دقائق تلقت اتصالًا. كان المتحدث امرأة تدّعي أنها من قسم الاحتيال بالبنك، وتحدثت بنبرة هادئة ومهنية: "لقد اكتشفنا نشاطًا غير معتاد على حسابك. لتأمينه، نحتاج إلى التحقق من بعض التفاصيل."

Emily ، التي كانت لا تزال تشعر بالنعاس، وافقت. قادتها المتصلة خلال سلسلة من الخطوات، وطلبت منها كلمة مرور حسابها البنكي عبر الإنترنت، بل وأرشدتها للموافقة على إشعار وصل إلى هاتفها. قالت المرأة: "هذا سيمنع وصول المخترق."

اتبعت Emily التعليمات، دون أن تدرك أنها وقعت في فخ.

بعد ساعات، رن هاتف Emily مرة أخرى. هذه المرة كان إشعارًا بسحب مبلغ 5000 دولار من حساب التوفير الخاص بها. أصابها الذعر وسارعت إلى تسجيل الدخول إلى تطبيق البنك، لكن الأوان كان قد فات. رفض التطبيق قبول كلمة المرور الخاصة بها، وكان حسابها مغلقًا. ثم شاهدت عمليات سحب أخرى تتم.

في لحظة، أدركت Emily أن مكالمة "قسم الاحتيال" كانت خدعة محكمة التخطيط نفذها مجرم إلكتروني لديه الآن سيطرة كاملة على حسابها. سارعت بالاتصال بالبنك على أمل إنقاذ حسابها قبل فوات الأوان.

لماذا يجب عليك حماية حساباتك المالية؟

تمثل حساباتنا المالية الإلكترونية - سواء أكانت جارية أو توفيرية أو استثمارية - أكثر من مجرد أموال. إنها تمثل سنوات من العمل الجاد، والخطط المستقبلية، والاستقرار المالي. يترقب المجرمون الإلكترونيون دائمًا فرصًا للوصول إلى أموالك، وخطأ واحد قد يؤدي إلى خسائر مالية جسيمة. إذا كنت تعتقد أن كلمة مرور بسيطة كافية لحمايتك، فكر مرة أخرى.

مجرمو الإنترنت اليوم أذكياء، ومخادعون، ولا يكلّون. من الضروري أن تكون استباقيًا في تأمين حساباتك المالية. لن يمنع ذلك الوصول غير المصرح به فحسب، بل سيمنحك أيضًا راحة البال بأن أموالك التي كسبتها بجهد آمنة.

خمس خطوات لإغلاق الباب أمام مجرمي الإنترنت:

• فعّل المصادقة متعددة العوامل (MFA) فورًا: تضيف المصادقة متعددة العوامل طبقة إضافية من الأمان لحساباتك الإلكترونية من خلال التحقق من هويتك باستخدام طريقتين أو أكثر - شيء تعرفه (كلمة المرور)، شيء تملكه (هاتف ذكي أو رمز مادي)، أو شيء أنت عليه (بصمة الإصبع أو التعرف على الوجه). حتى إذا تمكن مجرم إلكتروني من الحصول على كلمة المرور الخاصة بك، سيحتاج إلى العامل الثاني للوصول إلى حسابك. استخدم المصادقة متعددة العوامل دائمًا، خاصة للحسابات المالية.

   

• استخدم كلمات مرور قوية وفريدة: أنشئ كلمات مرور قوية وفريدة لكل حساب. كلما كانت كلمتك أطول وأكثر تنوعًا في الأحرف، كان ذلك أفضل. يمكنك استخدام عبارات مرور تتكون من عدة كلمات لسهولة التذكر. وإذا كنت تجد صعوبة في تذكرها، استخدم مدير كلمات المرور لإنشاء وتتبع كلمات مرور قوية وفريدة لجميع حساباتك.

   

• الحذر من الاحتيال المستمر: من أسهل الطرق التي يستخدمها المهاجمون الإلكترونيون للوصول إلى حساباتك هي طلب ذلك منك مباشرة. يقومون بإنشاء رسائل بريد إلكتروني أو رسائل نصية أو حتى مكالمات هاتفية تبدو وكأنها من البنك أو المؤسسة المالية. تحقق دائمًا من المصدر قبل النقر على الروابط، أو تنزيل المرفقات، أو الرد على الرسائل أو المكالمات الهاتفية. كلما زادت حالة الطوارئ التي يشير إليها البريد الإلكتروني أو الرسالة أو المكالمة، زادت احتمالية أن تكون هجومًا. لحماية نفسك، انتقل مباشرة إلى الموقع الرسمي للبنك أو اتصل برقم هاتف موثوق.

   

• راقب حساباتك بانتظام: اجعلها عادة أن تتحقق بشكل متكرر من حساباتك المالية لأي معاملات غير عادية. والأفضل من ذلك، أن معظم المؤسسات المالية تقدم إشعارات تلقائية للسحوبات الكبيرة أو الأنشطة المشبوهة. إعداد التنبيهات التلقائية يمكن أن يساعدك على اكتشاف العمليات الاحتيالية مبكرًا واتخاذ إجراءات سريعة لتقليل الضرر. إذا لاحظت شيئًا غير صحيح، لا تنتظر - تصرف فورًا.

   

• احمِ أجهزتك بإحكام: هاتفك المحمول، حاسوبك المحمول، وجهازك اللوحي هي مثل خزائن لعالمك المالي. حافظ على أمانها باستخدام قفل شاشة قوي وتحديثات برامج منتظمة. نوصي بتمكين التحديث التلقائي للحفاظ على أمان أجهزتك.

:Pegasus

• هي برمجية تجسس يمكنها اختراق أي جهاز يعمل بنظام iOS أو أندرويد وسرقة مجموعة متنوعة من البيانات من الجهاز المخترق، بما في ذلك الرسائل النصية، والبريد الإلكتروني، وتسجيلات المفاتيح، والصوت، والمعلومات من التطبيقات المثبتة مثل فيسبوك وإنستجرام. يمكن للبرمجية تسجيل المحادثات والفيديوهات، والتقاط صور باستخدام كاميرا الجهاز. تم تطوير هذه البرمجية بواسطة مجموعة NSO. (المصدر)

:T-Mobile

• هي إحدى الشركات التابعة لـ Deutsche Telekom AG، وهي مزود لخدمات الاتصالات. تقدم الشركة خدمات الاتصالات اللاسلكية وعددًا من الخدمات الأخرى مثل المكالمات الصوتية، والرسائل النصية، والمكالمات الفيديو، واتصالات البيانات للعملاء. تخدم T-Mobile العملاء بنظام الدفع المسبق، والدفع المؤجل، والعملاء الجملة. كما توفر الشركة الوصول إلى الإنترنت اللاسلكي وخدمات البيانات الأخرى للمراكز التجارية. وتقوم أيضًا بتوزيع مجموعة واسعة من الهواتف المحمولة، والأجهزة القابلة للارتداء، والأجهزة اللوحية، وإكسسوارات الهواتف المحمولة من بائعين معتمدين مثل Apple وGoogle وMotorola وOnePlus وSamsung وAlcatel وBeats و LG. (المصدر)

:Cisco

• شركة رائدة في مجال الشبكات، وتشتهر بشكل رئيس بأنها مُصنّع ومُزوّد لمعدات الشبكات. كما تقدم الشركة البرمجيات والخدمات ذات الصلة. على مدار تاريخها، ركزت Cisco على تقنيات الشبكات المعتمدة على بروتوكول الإنترنت (IP)، ومنتجات التوجيه والتحويل، وتقنيات الشبكات المنزلية، والهاتف عبر بروتوكول الإنترنت (IP)، والشبكات البصرية، والأمن، والشبكات التخزينية، والتقنيات اللاسلكية. (المصدر)

واجهات برمجة التطبيقات (API) Application Programming Interface:

• هي آليات تتيح لعنصرين برمجيين التواصل مع بعضهما البعض باستخدام مجموعة من التعريفات والبروتوكولات. على سبيل المثال، يحتوي نظام البرمجيات الخاص بمكتب الطقس على بيانات الطقس اليومية. تطبيق الطقس على هاتفك "يتحدث" مع هذا النظام عبر APIs ويعرض لك تحديثات الطقس اليومية على هاتفك. (المصدر)

Malwarebytes:

• هي شركة بدأت بالمساعدة على علاج عدوى البرامج الضارة، تقوم بمهمة تخليص العالم من البرامج الضارة. نما المنتج وتطور منذ ذلك الحين. من إزالة البرامج الضارة، إلى حماية الأجهزة، إلى الوقاية المتغيرة باستمرار. الآن يفعلون أكثر بكثير من مجرد معالجة البرامج الضارة. لقد تقدموا ​​إلى عالم الحماية السيبرانية والخصوصية وما هو أبعد من ذلك سواء عبر الأجهزة أو السحابة بدعم من الذكاء الاصطناعي، وتقنيات تعتمد على السلوك. (المصدر)

:ByteDance

• تم تأسيس شركة ByteDance في عام 2012 على يد فريق Yiming Zhang and Rubo Liang ، حيث رأوا فرصًا في سوق الإنترنت المحمول الذي كان في مراحله الأولى آنذاك، وسعوا لبناء منصات تُثري حياة الناس. أطلقت الشركة منتجها الرائد Toutiao في أغسطس 2012، وحققت نجاحًا كبيرًا تبعه إطلاق Douyin في سبتمبر 2016. بعد حوالي عام، سرّعت الشركة جهودها العالمية بإطلاق تطبيق الفيديوهات القصيرة العالمي TikTok، الذي سرعان ما حقق نجاحًا في أسواق مثل جنوب شرق آسيا، مما فتح فرصًا جديدة للشركة. وفي نوفمبر 2017، استحوذت ByteDance على تطبيق Musical.ly ودمجته مع TikTok. (المصدر)

جدار الحماية (Firewall):

• جدار الحماية هو جهاز أمان للشبكة يراقب حركة المرور الواردة والصادرة للشبكة، ويقرر ما إذا كان سيسمح بحركة مرور معينة، أو يحظرها بناءً على مجموعة محددة من قواعد الأمان. كانت جدران الحماية خط الدفاع الأول في أمان الشبكة لأكثر من 25 عامًا. فهي تنشئ حاجزًا بين الشبكات الداخلية المؤمنة والخاضعة للرقابة، والتي يمكن الوثوق بها والشبكات الخارجية غير الموثوق بها، مثل الإنترنت. يمكن أن يكون جدار الحماية عبارة عن أجهزة أو برامج أو البرمجيات كخدمة (SaaS) أو سحابة عامة أو سحابة خاصة (افتراضية). (المصدر)

عناوين الإنترنت IP addresses:

• عنوان IP هو عنوان فريد يحدد جهازًا على الإنترنت أو شبكة محلية. ويعني "بروتوكول الإنترنت"، وهو مجموعة القواعد التي تحكم تنسيق البيانات المرسلة عبر الإنترنت أو الشبكة المحلية. في الأساس، عناوين IP هي المعرف الذي يسمح بإرسال المعلومات بين الأجهزة على الشبكة: فهي تحتوي على معلومات الموقع، وتجعل الأجهزة متاحة للاتصال. يحتاج الإنترنت إلى طريقة للتمييز بين أجهزة الكمبيوتر وأجهزة التوجيه ومواقع الويب المختلفة. توفر عناوين IP طريقة للقيام بذلك، وتشكل جزءًا أساسيًا من كيفية عمل الإنترنت. (المصدر)

VPN (الشبكة الخاصة الافتراضية) virtual private network:

• تنشئ VPN أو الشبكة الخاصة الافتراضية اتصال شبكة خاصًا بين الأجهزة من خلال الإنترنت. وتُستخدم VPN في نقل البيانات بأمان مع إخفاء الهوية عبر الشبكات العامة. وتعمل عن طريق إخفاء عناوين IP وتشفير البيانات بحيث تكون غير قابلة للقراءة إلا من قِبل الشخص المصرح باستلامها. (المصدر)

Volexity:

• هي مزود رائد لخدمات وحلول استخبارات التهديدات وقمع الحوادث. تم تأسيس Volexity على الإيمان بأن مستقبل الأمن السيبراني سيعتمد على قدرة الصناعة على إتقان البيانات الموجودة في الذاكرة المتقلبة. تحليل الذاكرة هو قدرة مدمرة تساعد المنظمات على تخطي قيود المنتجات والخدمات التقليدية في مجال الأمن السيبراني. (المصدر)

JSON (JavaScript Object Notation)

• هو تنسيق خفيف لتبادل البيانات. من السهل على البشر قراءته وكتابته، ومن السهل على الآلات تحليله وتوليده. يعتمد JSON على مجموعة فرعية من معيار لغة البرمجة جافا سكربت ECMA-262 الإصدار الثالث. (المصدر)

VMware:

• هي شركة متخصصة في المحاكاة الافتراضية والحوسبة السحابية، وتقوم بتطوير برامج المحاكاة الافتراضية. تنتج أدوات لإدارة المحاكاة الافتراضية والشبكات والأمان. يتيح برنامج VMware للمستخدمين تشغيل جهاز افتراضي على جهاز الكمبيوتر الفعلي (تقسيم مكونات الأجهزة مثل المعالجات والذاكرة والتخزين إلى عدة أجهزة افتراضية). يساعد ذلك على زيادة كفاءة النظام الحاسوبي، حيث يمكن تشغيل المزيد من التطبيقات باستخدام أجهزة كمبيوتر فعلية أقل. (المصدر)

:Mandiant

• هي شركة تكنولوجيا تتمتع بخبرة رائدة في الصناعة، ورؤية، واستخبارات في مجال الأمن السيبراني والدفاع السيبراني. منذ تأسيسها في عام 2003، استجابت للعديد من الحوادث الأمنية الخطيرة، واكتسبت ثقة عملائها. تقدم خبرتها ورؤيتها واستخباراتها من الخطوط الأمامية للهجوم والدفاع من خلال مجموعة من حلول الدفاع السيبراني للحماية من تهديدات الهجمات السيبرانية وللمساعدة على الاستعداد بشكل واثق للانتهاكات المحتملة. (المصدر)

DCE/RPC:

• هو تنفيذ لتقنية استدعاء الإجراء عن بُعد (RPC) التي طورتها Open Group كجزء من بيئة الحوسبة الموزعة (Distributed Computing Environment). يُستخدم DCE/RPC بشكل شائع للتفاعل مع خدمات الشبكة في أنظمة Windows. (المصدر)

XSS (Cross-Site Scripting):

• هجمات البرمجة النصية عبر المواقع (XSS) هي نوع من الهجمات التي تعتمد على حقن النصوص الضارة، حيث يتم إدخال أكواد خبيثة في مواقع ويب موثوقة وغير ضارة. تحدث هذه الهجمات عندما يستغل المهاجم تطبيق ويب لإرسال شفرة ضارة، غالبًا على شكل كود خبيث يُنفذ من جانب المتصفح، إلى مستخدم آخر. تنتشر الثغرات التي تسمح بنجاح هذه الهجمات بشكل واسع، وتحدث في أي مكان تستخدم فيه تطبيقات الويب مدخلات من المستخدم ضمن المخرجات التي تنتجها دون التحقق منها، أو ترميزها بشكل صحيح. (المصدر)

هجمات الفدية :(Ransomware)

• هي نوع من البرمجيات الخبيثة التي تمنع المستخدمين من الوصول إلى أنظمتهم أو ملفاتهم الشخصية، وتطالب بدفع فدية لاستعادة الوصول. بينما قد يعتقد البعض أن "فيروسًا قفل جهازي"، تُصنف برمجيات الفدية عادةً كنوع مختلف من البرمجيات الخبيثة عن الفيروسات. (المصدر)

:LockBit

• هي مجموعة تعمل بنظام الفدية كخدمة Ransomware-as-a-Service – RaaS)) ونشطت منذ سبتمبر 2019. وقد تم تصنيفها في بعض الأحيان كواحدة من أكثر المجموعات إنتاجية وتدميرًا. في عالم الجريمة السيبرانية الخاص بهجمات الفدية، أثبتت LockBit نفسها كتهديد بارز وواسع الانتشار، مما يشكل تحديات خطيرة للمؤسسات حول العالم. (المصدر)

:PLAY

• ظهرت برمجية الفدية Play أول مرة حوالي يونيو 2022. تم اشتقاق اسم عائلة الفدية من الامتداد ".play" الذي يُضاف إلى الملفات بمجرد تشفيرها. تركز المجموعة على أسلوب الابتزاز المتعدد، حيث تقوم بتشفير بيانات المؤسسات المستهدفة، وتهدد أيضًا بنشر البيانات على مواقعها العامة المستندة إلى شبكة TOR. (المصدر)

:8Base

• تعتمد المجموعة على التشفير إلى جانب تقنيات "التشهير بالاسم" لإجبار ضحاياها على دفع الفدية. تتبع 8Base نمطًا انتهازيًا في استهداف الضحايا، حيث شملت الضحايا مؤخرًا صناعات متنوعة. على الرغم من العدد الكبير للحوادث، تظل هوية المجموعة، منهجيتها، والدوافع الكامنة وراء هذه الهجمات لغزًا غير مكشوف. (المصدر)

:Akira

• بدأت عمليات برمجية الفدية Akira في مارس 2023. جذبت المجموعة الانتباه بسبب التصميم "retro aesthetic" الذي يميز موقعها لتسريب البيانات (DLS) ورسائلها. يعتمد القائمون على Akira على أساليب الابتزاز المتعدد، ويستضيفون موقعًا على شبكة TOR (.onion)، حيث تُدرج أسماء الضحايا مع البيانات المسروقة في حال عدم الامتثال لمطالب الفدية. يتم توجيه الضحايا للتواصل مع المهاجمين عبر بوابتهم على شبكة TOR، حيث يدخلون معرّفًا فريدًا يتم توفيره في رسالة الفدية لبدء عملية التفاوض. تشتهر المجموعة بمطالبتها بمبالغ فدية هائلة تصل إلى مئات الملايين من الدولارات. (المصدر)