عصابات الفدية تستغل ثغرات SimpleHelp غير المرقّعة لتنفيذ هجمات ابتزاز مزدوجة

عصابات الفدية تستغل ثغرات SimpleHelp غير المرقّعة لتنفيذ هجمات ابتزاز مزدوجة
عصابات الفدية تستغل ثغرات SimpleHelp غير المرقّعة لتنفيذ هجمات ابتزاز مزدوجة
شارك هذا الخبر

كشفت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) يوم الخميس أن جهات تهديد تنشط في مجال برمجيات الفدية تستغل ثغرات غير مرقّعة في نظام SimpleHelp لمراقبة وإدارة الأجهزة عن بُعد، بهدف استهداف عملاء مزوّد مجهول لخدمة فواتير المرافق.

وقالت الوكالة في بيانها التحذيري:

“تعكس هذه الحادثة نمطًا أوسع من استغلال العصابات لهذه الثغرات منذ يناير 2025، للوصول إلى المؤسسات عبر نسخ SimpleHelp القديمة وغير المحدثة.”

وكانت شركة SimpleHelp قد أعلنت في وقت سابق من هذا العام عن ثلاث ثغرات أمنية بالغة الخطورة وهي:

  • CVE-2024-57726

  • CVE-2024-57727

  • CVE-2024-57728

وتتسبب هذه الثغرات في تسريب المعلومات، وتصعيد الامتيازات، وتنفيذ أوامر عن بُعد. وقد تم رصد استغلال نشط لهذه الثغرات من قبل عصابات مثل DragonForce.

في مايو، أفادت شركة Sophos بأن جهة تهديد استغلت SimpleHelp لدى أحد مزودي الخدمات المدارة (MSP)، واستخدمته كنقطة انطلاق لاختراق عملاء آخرين.

الاستغلال المزدوج للثغرات في SimpleHelp

أشارت CISA إلى أن الإصدارات 5.5.7 وما دونها من SimpleHelp تحتوي على عدة ثغرات خطرة، منها CVE-2024-57727، وتقوم العصابات باستخدامها لاختراق أنظمة العملاء الفرعيين بهدف تنفيذ هجمات ابتزاز مزدوجة (تشفير البيانات وسرقتها في آنٍ واحد).

وقدمت الوكالة مجموعة من التوصيات الوقائية، أهمها:

  • عزل خوادم SimpleHelp عن الإنترنت وتحديثها فورًا.

  • تنبيه العملاء المرتبطين باتخاذ إجراءات تأمين فورية.

  • مراقبة حركة المرور الغريبة وتفعيل البحث عن مؤشرات اختراق.

  • فصل الأجهزة المصابة وإعادة تهيئة النظام واسترجاع البيانات من نسخة احتياطية نظيفة.

  • المحافظة على نسخ احتياطية دورية وغير متصلة بالإنترنت.

  • تجنب كشف خدمات الوصول عن بعد مثل RDP للعامة.

وأكدت CISA أنها لا توصي بدفع الفدية، نظرًا لانعدام ضمانات استرجاع الملفات، ولأن الدفع يشجع المهاجمين ويمول أنشطة غير قانونية.

هجمات Fog Ransomware تستهدف مؤسسة مالية آسيوية باستخدام أدوات مراقبة للموظفين

في تطور مرتبط، كشفت شركة Symantec المملوكة لـBroadcom، عن هجوم نفذته عصابة Fog Ransomware استهدف مؤسسة مالية في آسيا. ويُعد هذا الهجوم استثنائيًا نظرًا لاستخدامه أدوات اختبار اختراق مفتوحة المصدر وبرامج مراقبة مشروعة لم تُستخدم من قبل في هجمات الفدية التقليدية.

تم رصد Fog لأول مرة في مايو 2024، وهو يعمل على سرقة البيانات وتشفيرها، معتمدًا على ثغرات النظام وبيانات اعتماد VPN مخترقة للوصول إلى الشبكات.

أحد سيناريوهات الهجوم شمل:

  • إرسال ملف ZIP يحتوي على اختصار (LNK) عبر البريد الإلكتروني.

  • عند تشغيله، يتم تحميل سكريبت PowerShell يقوم بتثبيت محمّل الفدية Fog.

  • يتم تحميل الشيفرة الضارة مباشرة في الذاكرة مع تعطيل أدوات الحماية.

Fog يستهدف أنظمة ويندوز ولينكس على حد سواء، وقد أعلنت شركة Trend Micro أن العصابة أعلنت مسؤوليتها عن استهداف 100 جهة حتى أبريل 2025، معظمها في قطاعات التكنولوجيا والتعليم والتصنيع والنقل.

أساليب غير معتادة: برامج مراقبة ومزج بين الجريمة والتجسس

المثير للدهشة أن المهاجمين استخدموا برنامجًا شرعيًا لمراقبة الموظفين يُدعى Syteca (سابقًا Ekran)، إضافة إلى أدوات مفتوحة المصدر مثل:

  • GC2

  • Adaptix

  • Stowaway (يُستخدم عادةً من قبل مجموعات قرصنة صينية)

كما لجأ المهاجمون إلى برامج مشروعة مثل 7-Zip وFreefilesync و**MegaSync

وسوم
محمد وهبى
محمد وهبى
المقالات: 284

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة