حذّرت شركة GreyNoise المتخصصة في استخبارات التهديدات من “ارتفاع ملحوظ” في نشاط المسح الإلكتروني الذي يستهدف أنظمة MOVEit Transfer التابعة لشركة Progress، بدءًا من 27 مايو 2025، ما يشير إلى احتمال تحضير المهاجمين لحملة استغلال واسعة النطاق جديدة أو سعيهم لرصد الأنظمة غير المحدثة.
يُعد MOVEit Transfer أحد حلول نقل الملفات المُدارة المستخدمة على نطاق واسع من قبل الشركات والهيئات الحكومية لنقل البيانات الحساسة بشكل آمن. وبسبب تعامله مع معلومات عالية القيمة، أصبح هدفًا مفضلاً للهجمات السيبرانية.
“قبل هذا التاريخ، كان نشاط المسح نادرًا – غالبًا أقل من 10 عناوين IP يوميًا”، وفقًا لـ GreyNoise. “لكن في 27 مايو، قفز الرقم إلى أكثر من 100 عنوان IP فريد، تلاه 319 عنوانًا في اليوم التالي.”
ومنذ ذلك الحين، ظل عدد عناوين IP التي تُجري عمليات المسح مرتفعًا بشكل متقطع بين 200 و300 عنوان يوميًا، ما يُمثل انحرافًا كبيرًا عن النمط المعتاد، بحسب الشركة.
أرقام مثيرة للقلق
-
خلال الـ 90 يومًا الماضية، تم رصد 682 عنوان IP فريدًا مرتبطًا بهذا النشاط.
-
خلال آخر 24 ساعة فقط، تم رصد 449 عنوان IP، منها:
-
344 تم تصنيفها كمشبوهة.
-
77 وُصفت بأنها خبيثة.
-
أغلب العناوين الجغرافية المرتبطة بالهجمات تعود إلى:
-
الولايات المتحدة
-
ألمانيا
-
اليابان
-
سنغافورة
-
البرازيل
-
هولندا
-
كوريا الجنوبية
-
هونغ كونغ
-
إندونيسيا
استغلال ثغرات معروفة
كما رصدت GreyNoise محاولات استغلال منخفضة المستوى في 12 يونيو 2025 لاستغلال ثغرتين معروفتين في MOVEit Transfer هما:
-
CVE-2023-34362: والتي تم استغلالها في 2023 من قبل مجموعة Cl0p ضمن حملة استغلال جماعية، أثّرت حينها على أكثر من 2,770 منظمة.
-
CVE-2023-36934
توصيات أمنية عاجلة
ارتفاع نشاط المسح يشير إلى أن أنظمة MOVEit Transfer أصبحت مجددًا تحت أنظار جهات التهديد، ما يستدعي من المؤسسات:
-
حظر عناوين IP المهاجمة أو المشبوهة.
-
تحديث برمجيات MOVEit Transfer فورًا إلى آخر إصدار متاح.
-
تجنّب تعريض الخوادم مباشرة للإنترنت كلما أمكن.
