خوادم IIS الكورية تتغرض لهجوم إلكتروني باستخدام برمجية Gh0st RAT الخبيثة

خوادم IIS الكورية تتغرض لهجوم إلكتروني باستخدام برمجية Gh0st RAT الخبيثة
خوادم IIS الكورية تتغرض لهجوم إلكتروني باستخدام برمجية Gh0st RAT الخبيثة
شارك هذا الخبر

رصدت شركة AhnLab الأمنية الكورية الجنوبية هجوماً إلكترونياً متقدماً يستهدف خوادم IIS (Internet Information Services) غير المؤمنة جيداً، حيث تم استخدام وحدة خبيثة خاصة بـIIS لنشر برمجية Gh0st RAT الخطيرة. يُعتقد أن الجهات الخبيثة المسؤولة عن هذا الهجوم ناطقة بالصينية، وفقاً لتحليل الأدوات والتكتيكات المستخدمة.

آلية الهجوم وتفاصيله التقنية

كيفية عمل الوحدة الخبيثة

  • يتم تحميل الوحدة الخبيثة في عملية w3wp.exe (عملية عمل IIS الأساسية)

  • تقوم بالتقاط جميع طلبات HTTP الواردة إلى الخادم

  • تتحكم في قيم الاستجابة لتوجيه الزوار إلى:

    • صفحات ويب خبيثة

    • وظائف ويب شل (Web Shell)

    • صفحات تصيد احتيالي

الأدوات المستخدمة في الهجوم

  1. Gh0st RAT:

    • حصان طروادة للوصول عن بُعد

    • يشتهر استخدامه من قبل مجموعات قرصنة صينية

    • يمكنه سرقة البيانات وتنفيذ أوامر عن بعد

  2. ويب شل من نوع .NET:

    • يوفر وصولاً مستمراً للخادم

    • يسمح بتحميل وتنفيذ برمجيات إضافية

أهداف الهجوم وتأثيراته

الأغراض المالية

  • حقن روابط تابعة (Affiliate Links) في حركة المرور

  • تحقيق إيرادات من الإعلانات عبر المواقع الشريكة

  • تغيير محتوى الصفحات لعرض إعلانات غير مرغوب فيها

أهداف تجسسية

  • جمع بيانات حساسة من المستخدمين

  • تثبيت صفحات تصيد احتيالي لسرقة المعلومات

  • إنشاء نقاط اختراق خلفية للهجمات المستقبلية

نطاق الهجوم والجهات المتأثرة

المنطقة الجغرافية المستهدفة

  • خوادم ويب في كوريا الجنوبية بشكل أساسي

  • احتمال استهداف دول أخرى في المنطقة

قطاعات معرضة للخطر

  • المواقع الحكومية

  • المنصات التجارية الإلكترونية

  • مواقع الشركات الكبرى

  • خدمات الويب المختلفة

إجراءات الوقاية والحماية

للمسؤولين عن الخوادم

✔ تحديث خوادم IIS بانتظام
✔ مراقبة الوحدات المحملة في عمليات w3wp.exe
✔ فحص حركة المرور غير العادية
✔ تنفيذ سياسات صارمة للتحكم في الوصول

للشركات الأمنية

  • تطوير قواعد كشف للوحدة الخبيثة

  • تحسين أنظمة منع التسلل

  • نشر تحديثات الحماية العاجلة

الخلفية الجيوسياسية

علاقة الهجوم بالقرصنة الصينية

  • استخدام Gh0st RAT الذي يشتهر به القراصنة الصينيون

  • نمط الهجوم يتوافق مع أساليب مجموعة APT41 المعروفة

  • احتمال وجود دوافع سياسية أو تجارية وراء الهجوم

الاستجابة الأمنية والتحديثات

إجراءات الشركات المصنعة

  • مايكروسوفت أصدرت توجيهات أمنية لمديري الأنظمة

  • تطوير تحديثات أمنية لخوادم IIS

إجراءات الحكومة الكورية

  • تعزيز مراقبة البنية التحتية للويب

  • إصدار تحذيرات رسمية للقطاعات الحيوية

 تهديد متطور للبنية التحتية الرقمية

يُظهر هذا الهجوم:

  • تطور أساليب القرصنة الموجهة ضد الخوادم

  • خطورة الثغرات في أنظمة الويب الشائعة

  • أهمية اليقظة الأمنية المستمرة

يجب على المؤسسات اعتبار هذا الهجوم جرس إنذار لتعزيز دفاعاتها ضد التهديدات المتقدمة المستمرة (APTs)، خاصة تلك ذات الصلة بالصراعات الجيوسياسية في المنطقة.

وسوم
محمد طاهر
محمد طاهر
المقالات: 484

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة