تفاصيل الثغرة (CVE-2025-4632)

• تصنيف الخطورة: 9.8/10 (حرجة جداً) على مقياس CVSS

• النوع: ثغرة تجاوز مسار الملفات (Path Traversal)

• التأثير: تسمح للمهاجمين بكتابة ملفات عشوائية بصلاحيات نظام كاملة

• الإصدارات المتأثرة: جميع إصدارات MagicINFO 9 Server قبل 21.1052

كيف تم اكتشاف الاستغلال؟

1. نشر PoC: ظهرت أولى أدلة الاستغلال بعد نشر إثبات مفهوم (PoC) من قِبَل SSD Disclosure في 30 أبريل 2025.

2. تحليل Huntress: كشفت الشركة الأمنية عن 3 حوادث استُغلت فيها الثغرة لتنزيل حمولات خبيثة

3. تنفيذ أوامر استطلاع على الأنظمة المخترقة.

علاقة الثغرة بالهجمات السابقة

• الثغرة الحالية (CVE-2025-4632) هي تجاوز للإصلاح الخاص بثغرة سابقة (CVE-2024-7399) التي أصلحتها سامسونج في أغسطس 2024.

• تم رصد هجمات تستغل كلا الثغرتين لنشر:

  • بوت نت Mirai (لإجراء هجمات حجب الخدمة DDoS).

  • برمجيات خبيثة أخرى لأغراض التجسس.

التوصيات الأمنية العاجلة

1. تحديث MagicINFO 9 Server إلى الإصدار 21.1052.0 فوراً.

2. ملاحظة مهمة: الترقية من الإصدار 8 تتطلب أولاً التحديث إلى 21.1050.0 قبل تطبيق الإصلاح النهائي.

3. مراقبة الأنظمة بحثاً عن أي أنشطة مشبوهة مرتبطة بالملفات

4. فحص سجلات النظام لاكتشاف محاولات استغلال ثغرات Path Traversal.

لماذا هذه الثغرة خطيرة؟

• تمنح المهاجمين تحكماً كاملاً في الخادم المستهدف.

• تم ربطها بهجمات Mirai التي تشتهر بشل البنية التحتية عبر هجمات DDoS.

• يصعب اكتشافها حيث تختلط أنشطتها مع العمليات النظامية المشروعة.

• مجموعة BianLian (المتخصصة في ابتزاز البيانات).

• عائلة برامج الفدية RansomExx (المعروفة لدى Microsoft باسم Storm-2460).

كيف تتم الهجمات؟

1. استغلال ثغرة SAP NetWeaver: لنشر أصداف ويب (Web Shells) للسيطرة على الأنظمة.

2. تنزيل حصان طروادة PipeMagic:

   • سبق استخدامه في استغلال ثغرة تصعيد الصلاحيات (CVE-2025-29824) في نظام Windows CLFS.

   • رُصد في هجمات سابقة ضد شركات في الولايات المتحدة، فنزويلا، إسبانيا، والسعودية.

3. استخدام إطار Brute Ratel C2: لمحاولات متكررة لاستغلال الثغرات عبر تنفيذ أوامر MSBuild.

الأدلة التي تربط BianLian بالهجمات

• خادم بعنوان 184.174.96.74 يستخدم لخدمات الوكيل العكسي (Reverse Proxy) عبر ملف rs64.exe.

• ارتباطه بخادم آخر (184.174.96.70) سبق رصده كـخادم تحكم (C2) تابع لـBianLian، مع تشابه في الشهادات الأمنية والمنافذ.

ثغرات SAP المستغَلة: ما تحتاج إلى معرفته

• CVE-2025-31324: تسمح للمهاجمين بالحصول على وصول كامل للنظام.

• CVE-2025-42999: ثغرة عدم التحقق من التسلسل (Deserialization) في نفس المكون.

• وفقًا لـOnapsis، تم استغلال هذه الثغرات منذ مارس 2025، والتحديث الأخير يُصلح السبب الجذري لها.

ملاحظة مهمة: لا فرق عمليًا بين الثغرتين طالما أن CVE-2025-31324 قابلة للاستغلال، إذ توفر وصولًا كاملًا دون الحاجة إلى صلاحيات عالية.

هل هناك جهات أخرى تستغل هذه الثغرات؟

نعم! كشفت EclecticIQ أن مجموعات صينية (مثل UNC5221، UNC5174، وCL-STA-0048) تستغل CVE-2025-31324 لنشر حمولات خبيثة متنوعة.

كيف تحمي مؤسستك؟

1. تثبيت تحديثات SAP فورًا لإصلاح الثغرات المذكورة.

2. مراقبة أنظمة SAP NetWeaver لاكتشاف أي أنشطة مشبوهة.

3. فحص الخوادم بحثًا عن ملفات rs64.exe أو أنشطة Brute Ratel C2.

4. تعزيز إجراءات التحقق من الهوية لتقليل خطر استغلال الثغرات.

ما هي خدمات سوق “شينبي” غير المشروعة؟

• غسيل الأموال: خاصةً الأموال المسروقة من اختراقات كوريا الشمالية، مثل اختراق بورصة WazirX الهندية.

• بيع بيانات شخصية مسروقة: لقاعدة بيانات المستهدفين في عمليات الاحتيال.

• تسهيل عمليات “نحر الخنازير” (احتيال العلاقات العاطفية): في جنوب شرق آسيا.

• توفير معدات اتصال غير خاضعة للرقابة: مثل أجهزة ستارلينك الفضائية.

• بيع هويات مزورة وخدمات إجرامية أخرى: مثل الملاحقة والتهديد داخل الصين، وحتى الاتجار بالبشر.

أرقام صادمة عن السوق السوداء

• 233,000 مستخدم نشط.

• معاملات بقيمة 1 مليار دولار في الربع الأخير من 2024 فقط.

• العملة المستخدمة: USDT (تيثر)، وهي عملة مستقرة مرتبطة بالدولار.

• 220,000 دولار من أموال اختراق WazirX تم غسلها عبر “شينبي”.

كيف تعمل هذه الأسواق الإجرامية؟

• تعتمد بالكامل على تلغرام كمنصة رئيسية (بديلًا عن “دارك ويب”).

• تقدم ضمانات للمشترين بأنهم سيحصلون على الخدمات المدفوعة (ومن هنا جاء اسم “Guarantee”).

• تُعلن عن نفسها كـ”شركة استثمارية” مسجلة في كولورادو الأمريكية، لكنها مُعلَنة كمتعثرة.

ما الإجراءات المتخذة ضدها؟

• تلغرام أغلقت آلاف القنوات المرتبطة بـ”شينبي” و”HuiOne”.

• الخزانة الأمريكية أدرجت “HuiOne” كـ”مصدر رئيسي لغسيل الأموال”.

• مع ذلك، لا تزال الأسواق الصينية القائمة على العملات المستقرة تُستخدم لعمليات غسيل أموال ضخمة.

كيف تحمي نفسك من هذه الجرائم؟

1. تجنب التعامل مع وسطاء غير معتمدين في العملات المشفرة.

2. تحقق من مصدر أي عروض استثمارية تبدو “جيدة جدًا لدرجة يصعب تصديقها”.

3. استخدم محافظ مشفرة آمنة وقلل الاعتماد على البورصات المركزية.

]]> https://ccforrs.com/%d8%b3%d9%88%d9%82-%d8%b4%d9%8a%d9%86%d8%a8%d9%8a-%d8%b9%d9%84%d9%89-%d8%aa%d9%84%d8%ba%d8%b1%d8%a7%d9%85-8-4-%d9%85%d9%84%d9%8a%d8%a7%d8%b1-%d8%af%d9%88%d9%84%d8%a7%d8%b1-%d9%85%d9%86-%d8%a7/feed/ 0 https://ccforrs.com/%d9%85%d9%88%d8%ac%d8%a9-%d8%aa%d8%b5%d8%a7%d8%b9%d8%af%d9%8a%d8%a9-%d9%81%d9%8a-%d9%87%d8%ac%d9%85%d8%a7%d8%aa-%d8%a7%d9%84%d8%aa%d8%b5%d9%8a%d8%af-%d8%aa%d8%b3%d8%aa%d9%87%d8%af%d9%81-%d9%85%d8%b3/ https://ccforrs.com/%d9%85%d9%88%d8%ac%d8%a9-%d8%aa%d8%b5%d8%a7%d8%b9%d8%af%d9%8a%d8%a9-%d9%81%d9%8a-%d9%87%d8%ac%d9%85%d8%a7%d8%aa-%d8%a7%d9%84%d8%aa%d8%b5%d9%8a%d8%af-%d8%aa%d8%b3%d8%aa%d9%87%d8%af%d9%81-%d9%85%d8%b3/#respond Sun, 18 May 2025 06:59:51 +0000 https://ccforrs.com/?p=12437 كشف باحثو الأمن السيبراني في CTM360 عن حملة تصيد عالمية جديدة تُدعى “Meta Mirage”، تستهدف بشكل خاص حسابات الأعمال على منصة Meta Business Suite، بما في ذلك الحسابات الإدارية للإعلانات والصفحات الرسمية للعلامات التجارية.

كيف تعمل الحملة؟

• انتحال هوية “ميتا”: يُرسل المهاجمون رسائل تظهر كمُرسَلة رسميًا من فيسبوك أو إنستجرام، تحتوي على:

  • تحذيرات مزيفة بـ”انتهاك سياسات المنصة”.

  • إشعارات “تعليق الحساب” أو “الحاجة إلى التحقق العاجل”.

• 14,000 رابط خبيث: تم اكتشافها، 78% منها لم تكن محظورة في المتصفحات وقت نشر التقرير!

• استضافة على منصات موثوقة: مثل GitHub وFirebase وVercel لزيادة مصداقية الروابط.

أساليب السرقة: ليس فقط كلمات المرور!

1. سرقة بيانات الدخول:

   • توجيه الضحايا إلى صفحات تسجيل دخول مزيفة تشبه موقع “ميتا” تمامًا.

   • عرض “أخطاء تقنية” متعمدة لجعل المستخدم يُعيد إدخال كلمة المرور ورمز OTP.

2. سرقة ملفات تعريف الارتباط (Cookies):

   • تمكن المهاجمين من الاستمرار في الوصول إلى الحساب حتى بعد تغيير كلمة المرور!

لماذا هذه الهجمات خطيرة؟

• إساءة استخدام الحسابات المخترقة:

  • نشر إعلانات احتيالية (كما في هجمات PlayPraetor).

  • اختراق الصفحات الرسمية للعلامات التجارية الكبرى.

• تصعيد التهديدات تدريجيًا:

  • تبدأ الرسائل بـ”انتهاكات بسيطة للسياسات”.

  • ثم تتصاعد إلى تحذيرات بـ”حذف الحساب نهائيًا” لخلق ذعرٍ يدفع الضحية للاستجابة بسرعة.

كيف تحمي حساب عملك؟

1. تفعيل المصادقة الثنائية (2FA).

2. استخدام أجهزة رسمية لإدارة الحسابات التجارية.

3. إنشاء بريد إلكتروني منفصل للأعمال فقط.

4. مراجعة إعدادات الأمان وجلسات الدخول النشطة بانتظام.

5. تدريب الموظفين على تمييز رسائل التصيد.

الخلاصة: هذا ليس تصيدًا عاديًا!

حملة Meta Mirage تُظهر كيف يُحَوِّل المهاجمون منصات الويب الموثوقة إلى أسلحة، مستغلين ثقة المستخدمين. الحماية تتطلب وعيًا تقنيًا وإجراءات استباقية، خاصةً للحسابات ذات القيمة العالية.

• قطاعات عسكرية وصناعية وتقنية في تايوان وكوريا الجنوبية.

• شركات طائرات مسيرة، أقمار صناعية، إعلام، وخدمات برمجيات.

تفاصيل الحملات الهجومية

1. حملة VENOM: اختراق سلاسل التوريد

• الهدف الرئيسي: مزودو خدمات البرمجيات.

• طريقة الهجوم:

  • استغلال ثغرات في خوادم الويب لتنصيب أصداف ويب (Web Shells).

  • استخدام أدوات مفتوحة المصدر مثل REVSOCK وSliver لإرباك جهات التتبع.

  • نشر برمجية خبيثة مخصصة تُدعى VENFRPC (مشتقة من أداة FRP).

• الهدف النهائي:

  • سرقة بيانات الاعتماد للوصول إلى عملاء “ذوي قيمة عالية” عبر هجمات سلسلة التوريد.

2. حملة TIDRONE: استهداف الصناعات العسكرية

• الهدف الرئيسي: شركات تصنيع الطائرات المسيرة.

• الأدوات المستخدمة:

  • CXCLNT: برمجية خلفية (Backdoor) تعمل بنظام “الوحدات القابلة للتحديث” من خوادم التحكم.

  • CLNTEND: نسخة مطورة من CXCLNT مع تقنيات تجنب الاكتشاف.

  • TrueSightKiller: تعطيل برامج مكافحة الفيروسات.

  • SCREENCAP: أداة لالتقاط لقطات الشاشة.

العلاقة بين الحملتين

• مشاركة البنية التحتية لخوادم التحكم (C&C).

• استهداف ضحايا مشتركة، خاصة في تايوان وكوريا الجنوبية.

• تشابه أساليب الهجوم (TTPs) مع مجموعة Dalbit (المشتبه في صلتها بجهات صينية).

كيف تم اختراق أنظمة ERP؟

اعتمدت المجموعة على:

1. ثغرات في أنظمة تخطيط موارد المؤسسات (ERP) لدخول الشبكات.

2. قنوات اتصال موثوقة (مثل أدوات المراقبة عن بُعد) لنشر البرمجيات الخبيثة.

3. هجمات متدرجة:

   • البدء بأدوات منخفضة التكلفة (مفتوحة المصدر).

   • الترقية إلى برمجيات مخصصة لاختراق أعمق.

حملة Swan Vector: استهداف اليابان وتايوان

كشفت Seqrite Labs عن حملة تجسس أخرى تُدعى Swan Vector، تتميز بـ:

• رسائل تصيد إلكتروني تتظاهر بكونها سير ذاتية لوظائف وهمية.

• أداة Pterois: لتنزيل Cobalt Strike (إطار اختراق ما بعد الاستغلال).

• أداة Isurus: تُحمل من Google Drive لتنفيذ هجمات متقدمة.

• تقنيات التخفي:

  • تحميل DLL جانبي (Side-Loading).

  • حذف الذات (Self-Deletion).

  • استدعاء واجهات برمجة التطبيقات (API) بشكل مشفر.

توصيات أمنية عاجلة

1. تحديث أنظمة ERP وفحصها دوريًا.

2. مراقبة حركة الشبكة لاكتشاف اتصالات غير معتادة.

3. توعية الموظفين حول تصيد البريد الإلكتروني.

4. استخدام حلول أمنية متقدمة لاكتشاف البرمجيات الخبيثة المعقدة.

الخلاصة: لماذا هذه الهجمات خطيرة؟

تستهدف Earth Ammit سلاسل التوريد الحيوية، مما يمنحها وصولًا إلى شبكات عسكرية وصناعية حساسة. يُظهر هذا التكتيك تطورًا في حروب التجسس السيبراني، حيث يصبح اختراق مورد واحد بوابة لاختراق عشرات الضحايا.

• المكسيك

• غواتيمالا

• كولومبيا

• بيرو

• تشيلي

• الأرجنتين

كيف تعمل الحملة؟

وفقًا لشركة Fortinet FortiGuard Labs، تعتمد هذه الهجمات على:

1. رسائل بريد إلكتروني مزيفة تتظاهر بأنها فواتير أو مستندات مالية لخداع الضحايا.

2. عند فتح المرفقات الضارة، يتم سرقة بيانات الاعتماد البريدية، وجمع قوائم جهات الاتصال، وحتى تثبيت برامج احتيالية مصرفية (Banking Trojans).

3. يتم إرسال رسائل تصيد إضافية من صناديق بريد الضحايا باستخدام أتمتة Outlook COM، مما يساعد في انتشار البرنامج الخبيث داخل الشبكات المؤسسية أو الشخصية.

تفاصيل تقنية عن هورابوت (Horabot)

• اكتُشف لأول مرة في يونيو 2023 من قبل Cisco Talos، وكان يستهدف متحدثي الإسبانية منذ نوفمبر 2020.

• يُعتقد أن الجهة الخبيثة وراء الهجمات تنتمي إلى البرازيل.

• في 2024، كشفت Trustwave SpiderLabs عن حملة تصيد مماثلة تستخدم حمولات ضارة تشبه Horabot.

آلية الهجوم خطوة بخطوة

1. المرحلة الأولى:

   • يصل الضحية بريد إلكتروني تصيد بعنوان فاتورة أو مستند مالي.

   • يحتوي المرفق على ملف ZIP بداخله مستند HTML خبيث مُشفّر بـ Base64 يتصل بخادم بعيد لتنزيل الحمولة التالية.

2. المرحلة الثانية:

   • يتم تحميل ملف HTA (تطبيق HTML) الذي يقوم بدوره بتنزيل سكربت من خادم خارجي.

   • يُحقن السكربت كود VBScript يتحقق مما إذا كان النظام يعمل على بيئة افتراضية (Virtual Machine) أو يوجد عليه برنامج Avast المضاد للفيروسات (في هذه الحالة يتوقف التنفيذ).

3. المرحلة النهائية:

   • يجمع البرنامج معلومات النظام ويُرسلها إلى المهاجمين.

   • يقوم بتنزيل سكربت AutoIt الذي يحمل DLL خبيثة (برنامج احتيالي مصرفي).

   • يُنشئ قائمة بعناوين البريد الإلكتروني من جهات اتصال Outlook ليرسل رسائل تصيد جديدة.

ما الذي يسرقه البرنامج؟

• بيانات الاعتماد من المتصفحات مثل:

  • Chrome, Edge, Opera, Brave, Yandex

  • Epic Privacy Browser, Comodo Dragon, Cent Browser

• حسابات البريد الإلكتروني عبر حقن نوافذ مزيفة تسجل كلمات المرور.

توصيات أمنية عاجلة

1. عدم فتح مرفقات البريد الإلكتروني المشبوهة، خاصةً تلك التي تدعي أنها فواتير.

2. تفعيل المصادقة الثنائية (2FA) على حسابات البريد والخدمات المالية.

3. استخدام برامج مكافحة فيروسات محدثة لاكتشاف البرمجيات الخبيثة.

4. فحص رسائل البريد الواردة من عناوين غير معروفة عبر أدوات مثل VirusTotal.

5. توعية الموظفين في الشركات حول مخاطر التصيد الإلكتروني.

 لماذا يُعد هورابوت خطرًا؟

يستهدف Horabot بشكل متكرر المؤسسات والأفراد في أمريكا اللاتينية عبر أساليب احتيالية متطورة، مما يجعله تهديدًا كبيرًا لسرقة البيانات المالية والحسابات الحساسة. التحديثات الأمنية والوعي بالهجمات الإلكترونية هما أفضل دفاع ضد مثل هذه التهديدات.

تفاصيل التحديثات الأمنية:

• 11 ثغرة حرجة (Critical)

• 66 ثغرة مهمة (Important)

• ثغرة واحدة منخفضة الخطورة (Low)

• 28 ثغرة تؤدي إلى تنفيذ الأوامر عن بُعد (RCE)

• 21 ثغرة تصعيد صلاحيات (Privilege Escalation)

• 16 ثغرة كشف معلومات (Information Disclosure)

كما أصلحت الشركة 8 ثغرات إضافية في متصفح Edge المبني على Chromium منذ تحديثات “Patch Tuesday” الشهر الماضي.

ثغرات (Zero-Day) المستغلة في الهجمات

1. CVE-2025-30397 (CVSS: 7.5)

• نوعها: تخريب ذاكرة محرك البرمجة النصية (Scripting Engine Memory Corruption).

• الخطر: تسمح بتنفيذ أكواد ضارة عند زيارة صفحة ويب خبيثة عبر Internet Explorer أو وضع IE في Edge.

• التأثير: إذا كان المستخدم يمتلك صلاحيات إدارية، قد يحصل المهاجم على سيطرة كاملة على النظام.

2. CVE-2025-30400 (CVSS: 7.8)

• نوعها: تصعيد صلاحيات في مكتبة DWM Core (مستخدمة في واجهة ويندوز).

• ملاحظة: هذه الثالثة من نوعها التي يتم استغلالها منذ 2023، بعد CVE-2024-30051 (المستخدمة في هجمات QakBot) و CVE-2023-36033.

3. CVE-2025-32701 (CVSS: 7.8)

4. CVE-2025-32706 (CVSS: 7.8)

• نوعهما: تصعيد صلاحيات في نظام السجلات CLFS Driver.

• الخلفية: منذ 2022، تم اكتشاف 8 ثغرات مماثلة في هذا المكون، بما في ذلك CVE-2025-29824 الذي استُغل مؤخرًا ضد شركات في الولايات المتحدة وفنزويلا وإسبانيا والسعودية.

5. CVE-2025-32709 (CVSS: 7.8)

• نوعها: تصعيد صلاحيات في برنامج WinSock Ancillary Function Driver.

• الخلفية: الثغرة الثالثة في هذا المكون خلال عام، بعد CVE-2024-38193 (المستغلة من قبل مجموعة Lazarus الكورية الشمالية) و CVE-2025-21418.

إجراءات حكومية عاجلة

أضافت وكالة الأمن السيبراني الأمريكية (CISA) هذه الثغرات إلى قائمة الثغرات المستغلة معروفة (KEV)، مع طلب تطبيق التحديثات من الوكالات الفيدرالية قبل 3 يونيو 2025.

أبرز الثغرات الأخرى المهمة

1. CVE-2025-26684 (CVSS: 6.7)

• المنتج: Microsoft Defender for Endpoint على Linux.

• الخطر: تسمح لمهاجم مصرح له بتصعيد صلاحياته محليًا عبر استغلال ثغرة في سكربت بايثون يتحقق من إصدار Java.

2. CVE-2025-26685 (CVSS: 6.5)

• المنتج: Microsoft Defender for Identity.

• الخطر: تسمح بمهاجمة شبكة محلية للحصول على هاش NTLM لاختراق حسابات Directory Services.

3. CVE-2025-29813 (CVSS: 10.0)  الأخطر!

• المنتج: Azure DevOps Server.

• الخطر: ثغرة تصعيد صلاحيات تسمح لمهاجم غير مصرح له بالسيطرة على الخادم عبر الشبكة.

• الحل: تم إصلاحها تلقائيًا في الإصدارات السحابية، ولا يتطلب إجراءً من العملاء.

توصيات أمنية عاجلة

1. تثبيت تحديثات Patch Tuesday فورًا عبر Windows Update.

2. مراقبة أنظمة Azure DevOps والتأكد من تحديثها.

3. تعطيل Internet Explorer والاعتماد على متصفح Edge الحديث.

4. تفعيل المصادقة القوية (مثل Kerberos) لمنع هجمات NTLM.

 لماذا هذه التحديثات بالغة الأهمية؟

مع تزايد استغلال الثغرات الصفر يوم في منتجات مايكروسوفت، يُنصح جميع المستخدمين – خاصةً المؤسسات – بالتحديث الفوري لتجنب اختراق الأنظمة وسرقة البيانات.