مركز الأمن السيبراني للأبحاث والدراسات CCRS

مجموعة Earth Ammit تخترق سلاسل توريد الطائرات المسيرة عبر أنظمة ERP في حملات VENOM وTIDRONE

محمد طاهر — Sun, 18 May 2025 05:30:53 +0000

كشف باحثون أمنيون عن مجموعة تجسس سيبراني تُعرف باسم Earth Ammit، ارتبطت بحملتين هجوميتين بين عامي 2023 و2024، استهدفتا:

قطاعات عسكرية وصناعية وتقنية في تايوان وكوريا الجنوبية.
شركات طائرات مسيرة، أقمار صناعية، إعلام، وخدمات برمجيات.

تفاصيل الحملات الهجومية

1. حملة VENOM: اختراق سلاسل التوريد

الهدف الرئيسي: مزودو خدمات البرمجيات.
طريقة الهجوم:
- استغلال ثغرات في خوادم الويب لتنصيب أصداف ويب (Web Shells).
- استخدام أدوات مفتوحة المصدر مثل REVSOCK وSliver لإرباك جهات التتبع.
- نشر برمجية خبيثة مخصصة تُدعى VENFRPC (مشتقة من أداة FRP).
الهدف النهائي:
- سرقة بيانات الاعتماد للوصول إلى عملاء “ذوي قيمة عالية” عبر هجمات سلسلة التوريد.

2. حملة TIDRONE: استهداف الصناعات العسكرية

الهدف الرئيسي: شركات تصنيع الطائرات المسيرة.
الأدوات المستخدمة:
- CXCLNT: برمجية خلفية (Backdoor) تعمل بنظام “الوحدات القابلة للتحديث” من خوادم التحكم.
- CLNTEND: نسخة مطورة من CXCLNT مع تقنيات تجنب الاكتشاف.
- TrueSightKiller: تعطيل برامج مكافحة الفيروسات.
- SCREENCAP: أداة لالتقاط لقطات الشاشة.

العلاقة بين الحملتين

مشاركة البنية التحتية لخوادم التحكم (C&C).
استهداف ضحايا مشتركة، خاصة في تايوان وكوريا الجنوبية.
تشابه أساليب الهجوم (TTPs) مع مجموعة Dalbit (المشتبه في صلتها بجهات صينية).

كيف تم اختراق أنظمة ERP؟

اعتمدت المجموعة على:

ثغرات في أنظمة تخطيط موارد المؤسسات (ERP) لدخول الشبكات.
قنوات اتصال موثوقة (مثل أدوات المراقبة عن بُعد) لنشر البرمجيات الخبيثة.
هجمات متدرجة:
- البدء بأدوات منخفضة التكلفة (مفتوحة المصدر).
- الترقية إلى برمجيات مخصصة لاختراق أعمق.

حملة Swan Vector: استهداف اليابان وتايوان

كشفت Seqrite Labs عن حملة تجسس أخرى تُدعى Swan Vector، تتميز بـ:

رسائل تصيد إلكتروني تتظاهر بكونها سير ذاتية لوظائف وهمية.
أداة Pterois: لتنزيل Cobalt Strike (إطار اختراق ما بعد الاستغلال).
أداة Isurus: تُحمل من Google Drive لتنفيذ هجمات متقدمة.
تقنيات التخفي:
- تحميل DLL جانبي (Side-Loading).
- حذف الذات (Self-Deletion).
- استدعاء واجهات برمجة التطبيقات (API) بشكل مشفر.

توصيات أمنية عاجلة

تحديث أنظمة ERP وفحصها دوريًا.
مراقبة حركة الشبكة لاكتشاف اتصالات غير معتادة.
توعية الموظفين حول تصيد البريد الإلكتروني.
استخدام حلول أمنية متقدمة لاكتشاف البرمجيات الخبيثة المعقدة.

الخلاصة: لماذا هذه الهجمات خطيرة؟

تستهدف Earth Ammit سلاسل التوريد الحيوية، مما يمنحها وصولًا إلى شبكات عسكرية وصناعية حساسة. يُظهر هذا التكتيك تطورًا في حروب التجسس السيبراني، حيث يصبح اختراق مورد واحد بوابة لاختراق عشرات الضحايا.

انخفاض استخدام قراصنة الإنترنت لأداة Cobalt Strike بنسبة 80% عالميًا

محمد وهبى — Mon, 10 Mar 2025 11:51:01 +0000

شهدت السنوات الأخيرة انخفاضًا كبيرًا في استخدام القراصنة لأداة Cobalt Strike، حيث انخفضت الحالات الضارة بنسبة 80% خلال العامين الماضيين. جاء هذا الانخفاض نتيجة جهود مشتركة من Fortra (مالكة الأداة)، ووحدة الجرائم الرقمية في Microsoft، ومركز مشاركة المعلومات وتحليلها في قطاع الصحة (Health-ISAC)، والتي تمكنت من إزالة مئات الخوادم المرتبطة بالإصدارات المقرصنة من الأداة.

ما هي أداة Cobalt Strike؟

تُعد Cobalt Strike أداة شرعية تُستخدم في اختبارات الاختراق (Red Teaming) لمحاكاة أنشطة القراصنة واكتشاف نقاط الضعف في الأنظمة. ومع ذلك، تم سرقتها وتسليحها من قبل القراصنة لاستخدامها في هجمات حقيقية. كانت الأداة الأكثر شيوعًا بين القراصنة لسنوات، حيث استُخدمت في أكثر من ثلثي هجمات الأمن السيبراني التي تعتمد على أدوات الأمان الهجومية (OST)، متفوقة على منافستها Metasploit التي استُخدمت في أقل من 8% من الحالات.

يقول بوب إردمان، نائب رئيس البحث والتطوير في Fortra:
“عندما بدأنا هذه الجهود، كانت الأداة منتشرة على نطاق واسع حول العالم. ولكن مع زيادة الضغوط، أصبحت مقتصرة على دول أقل تعاونًا مع إنفاذ القانون الأمريكي، مثل روسيا والصين وهونغ كونغ.”

كيف يحصل القراصنة على Cobalt Strike؟

تبلغ تكلفة الاشتراك السنوي في Cobalt Strike ما يقرب من 10,000 دولار، ولا يمكن الحصول عليها بسهولة. يؤكد إردمان:
“لا نبيع الأداة لأي شخص. لدينا ضوابط وفحوصات خلفية للمشترين المحتملين.” ومع ذلك، تنتشر الأداة عبر طرق غير مشروعة، مثل سرقتها من الضحايا أو مشاركتها على منصات مثل VirusTotal أو Telegram.

جهود مكافحة الاستخدام الضار

تعود جهود استعادة السيطرة على Cobalt Strike إلى عام 2023، عندما قدمت Fortra وMicrosoft وHealth-ISAC دعوى قضائية بموجب قانون الألفية الجديدة لحقوق الطبع والنشر الرقمية (DMCA) ضد القراصنة الذين انتهكوا اتفاقيات الترخيص. في 31 مارس 2023، أصدرت محكمة مقاطعة نيويورك الشرقية أمرًا قضائيًا مؤقتًا يسمح لهذه المنظمات بمهاجمة البنية التحتية للقراصنة.

يقول إيرول وايس، رئيس الأمن في Health-ISAC:
“نقوم بتحليل البنية التحتية الضارة لفهم كيفية عملها وأين تذهب البيانات. في بعض الأحيان، يمكننا رؤية ما يراه القراصنة عند استخدامهم للأدوات الضارة.”

تمكنت الجهود المشتركة من إزالة أكثر من 200 نطاق ضار مرتبط بـCobalt Strike، مما أدى إلى تعطيل اتصال العملاء بالخوادم الرئيسية.

التحديات المستقبلية

على الرغم من النجاح الكبير في تقليل استخدام الأداة بنسبة 80%، إلا أن التحديات لا تزال قائمة. يمكن للقراصنة الانتقال إلى بنى تحتية جديدة، كما أن بعض الخوادم لا يمكن إزالتها بسبب تدخل جهات إنفاذ القانون أو مقدمي الخدمات.

يقول إردمان:
“هناك حالات تتدخل فيها جهات إنفاذ القانون وتطلب عدم لمس خادم معين بسبب ارتباطه بعمليات أخرى.” كما أن القضية القضائية لا تزال مستمرة، ومن المتوقع أن تستغرق عدة سنوات قبل الوصول إلى حكم نهائي.

نحو مستقبل أكثر أمانًا

تأمل Fortra وشركاؤها في مواصلة جهودهم لاستعادة السيطرة الكاملة على Cobalt Strike، مع توقع المزيد من الإجراءات القانونية ضد القراصنة. يقول إردمان:
“نحن نتعامل مع هذه القضية كمطالبة بحقوق الملكية الفكرية، ولكننا نأمل في رؤية المزيد من الاعتقالات في المستقبل.”

استغلال ثغرة PHP-CGI لتنفيذ هجمات على قطاعات التكنولوجيا والاتصالات والتجارة الإلكترونية في اليابان

محمد طاهر — Sun, 09 Mar 2025 05:55:23 +0000

تم الكشف عن حملة خبيثة تستهدف بشكل رئيسي المنظمات في اليابان منذ يناير 2025، حيث استغل المهاجمون ثغرة أمنية تعرف باسم CVE-2024-4577، وهي ثغرة تنفيذ أكواد عن بُعد (RCE) في تطبيق PHP-CGI على أنظمة ويندوز. وفقًا لتقرير تقني نشره الباحث شيتان راغوبراساد من Cisco Talos، تم استخدام هذه الثغرة للحصول على وصول أولي إلى أجهزة الضحايا.

وأضاف راغوبراساد: “يقوم المهاجمون باستخدام إضافات من مجموعة Cobalt Strike المتاحة علنًا، والمعروفة باسم ‘TaoWu’، لأنشطة ما بعد الاستغلال.”

القطاعات المستهدفة

تشمل الأهداف شركات في قطاعات التكنولوجيا، والاتصالات، والترفيه، والتعليم، والتجارة الإلكترونية في اليابان.

آلية الهجوم

تبدأ العملية باستغلال الثغرة CVE-2024-4577 للحصول على وصول أولي، ثم يتم تشغيل نصوص PowerShell لتنفيذ حمولة Cobalt Strike reverse HTTP shellcode، مما يمنح المهاجمين وصولًا دائمًا عن بُعد إلى الجهاز المخترق.

أنشطة ما بعد الاختراق

بعد ذلك، يتم تنفيذ عمليات استطلاع، وتصعيد الامتيازات، والحركة الجانبية باستخدام أدوات مثل JuicyPotato، وRottenPotato، وSweetPotato، وFscan، وSeatbelt. كما يتم تعزيز الثبات عبر تعديلات سجل ويندوز، والمهام المجدولة، وخدمات مخصصة باستخدام إضافات مجموعة Cobalt Strike المسماة TaoWu.

وللحفاظ على التخفي، يقوم المهاجمون بمسح سجلات الأحداث باستخدام أوامر wevtutil، مما يزيل أي آثار لأفعالهم من سجلات أمان ويندوز، والنظام، والتطبيقات. وأخيرًا، يتم تنفيذ أوامر Mimikatz لاستخراج كلمات المرور وNTLM hashes من ذاكرة الجهاز الضحية.

سرقة البيانات

تنتهي الهجمات بسرقة كلمات المرور وNTLM hashes من الأجهزة المصابة. كما كشف تحليل إضافي لخوادم التحكم والسيطرة (C2) المرتبطة بأداة Cobalt Strike أن المهاجمين تركوا قوائم الدلائل متاحة عبر الإنترنت، مما كشف عن مجموعة كاملة من الأدوات والإطارات العدائية المستضافة على خوادم Alibaba Cloud.

الأدوات المستخدمة

من بين الأدوات البارزة التي تم اكتشافها:

Browser Exploitation Framework (BeEF): أداة اختبار اختراق متاحة علنًا لتنفيذ الأوامر في سياق المتصفح.
Viper C2: إطار عمل نمطي للتحكم والسيطرة يسهل تنفيذ الأوامر عن بُعد وإنشاء حمولات Meterpreter reverse shell.
Blue-Lotus: إطار عمل لاختبارات JavaScript webshell وهجمات XSS، مما يتيح إنشاء حمولات JavaScript web shell لتنفيذ هجمات XSS، والتقاط لقطات الشاشة، والحصول على reverse shell، وسرقة ملفات تعريف الارتباط من المتصفح، وإنشاء حسابات جديدة في أنظمة إدارة المحتوى (CMS).

دوافع الهجوم

قال راغوبراساد: “نقدر بثقة معتدلة أن دوافع المهاجمين تتجاوز مجرد جمع بيانات الاعتماد، بناءً على ملاحظتنا لأنشطة ما بعد الاستغلال، مثل تعزيز الثبات، ورفع الامتيازات إلى مستوى SYSTEM، وإمكانية الوصول إلى إطارات عمل عدائية، مما يشير إلى احتمال حدوث هجمات مستقبلية.”