• المكسيك

• غواتيمالا

• كولومبيا

• بيرو

• تشيلي

• الأرجنتين

كيف تعمل الحملة؟

وفقًا لشركة Fortinet FortiGuard Labs، تعتمد هذه الهجمات على:

1. رسائل بريد إلكتروني مزيفة تتظاهر بأنها فواتير أو مستندات مالية لخداع الضحايا.

2. عند فتح المرفقات الضارة، يتم سرقة بيانات الاعتماد البريدية، وجمع قوائم جهات الاتصال، وحتى تثبيت برامج احتيالية مصرفية (Banking Trojans).

3. يتم إرسال رسائل تصيد إضافية من صناديق بريد الضحايا باستخدام أتمتة Outlook COM، مما يساعد في انتشار البرنامج الخبيث داخل الشبكات المؤسسية أو الشخصية.

تفاصيل تقنية عن هورابوت (Horabot)

• اكتُشف لأول مرة في يونيو 2023 من قبل Cisco Talos، وكان يستهدف متحدثي الإسبانية منذ نوفمبر 2020.

• يُعتقد أن الجهة الخبيثة وراء الهجمات تنتمي إلى البرازيل.

• في 2024، كشفت Trustwave SpiderLabs عن حملة تصيد مماثلة تستخدم حمولات ضارة تشبه Horabot.

آلية الهجوم خطوة بخطوة

1. المرحلة الأولى:

   • يصل الضحية بريد إلكتروني تصيد بعنوان فاتورة أو مستند مالي.

   • يحتوي المرفق على ملف ZIP بداخله مستند HTML خبيث مُشفّر بـ Base64 يتصل بخادم بعيد لتنزيل الحمولة التالية.

2. المرحلة الثانية:

   • يتم تحميل ملف HTA (تطبيق HTML) الذي يقوم بدوره بتنزيل سكربت من خادم خارجي.

   • يُحقن السكربت كود VBScript يتحقق مما إذا كان النظام يعمل على بيئة افتراضية (Virtual Machine) أو يوجد عليه برنامج Avast المضاد للفيروسات (في هذه الحالة يتوقف التنفيذ).

3. المرحلة النهائية:

   • يجمع البرنامج معلومات النظام ويُرسلها إلى المهاجمين.

   • يقوم بتنزيل سكربت AutoIt الذي يحمل DLL خبيثة (برنامج احتيالي مصرفي).

   • يُنشئ قائمة بعناوين البريد الإلكتروني من جهات اتصال Outlook ليرسل رسائل تصيد جديدة.

ما الذي يسرقه البرنامج؟

• بيانات الاعتماد من المتصفحات مثل:

  • Chrome, Edge, Opera, Brave, Yandex

  • Epic Privacy Browser, Comodo Dragon, Cent Browser

• حسابات البريد الإلكتروني عبر حقن نوافذ مزيفة تسجل كلمات المرور.

توصيات أمنية عاجلة

1. عدم فتح مرفقات البريد الإلكتروني المشبوهة، خاصةً تلك التي تدعي أنها فواتير.

2. تفعيل المصادقة الثنائية (2FA) على حسابات البريد والخدمات المالية.

3. استخدام برامج مكافحة فيروسات محدثة لاكتشاف البرمجيات الخبيثة.

4. فحص رسائل البريد الواردة من عناوين غير معروفة عبر أدوات مثل VirusTotal.

5. توعية الموظفين في الشركات حول مخاطر التصيد الإلكتروني.

 لماذا يُعد هورابوت خطرًا؟

يستهدف Horabot بشكل متكرر المؤسسات والأفراد في أمريكا اللاتينية عبر أساليب احتيالية متطورة، مما يجعله تهديدًا كبيرًا لسرقة البيانات المالية والحسابات الحساسة. التحديثات الأمنية والوعي بالهجمات الإلكترونية هما أفضل دفاع ضد مثل هذه التهديدات.

أهداف الهجمات: ما وراء التجسس

بينما كانت معظم الهجمات الرقمية في الماضي تقتصر على التجسس أو سرقة المعلومات، تشير التقارير الحديثة إلى تحوّل خطير في نهج القراصنة، حيث أصبحوا يركزون على تعطيل الأنظمة أو زرع أبواب خلفية دائمة تتيح لهم التحكم في المنشآت أو تعطيلها وقت الحاجة.

أمثلة على ذلك:

• استهداف محطات الطاقة وشبكات الكهرباء.

• اختراق أنظمة إدارة المياه والتحكم بالمضخات.

• تعطيل البوابات الرقمية في المطارات أو مراكز المراقبة.

Fortinet تحذر: أبواب خلفية تبقى فعالة حتى بعد التحديث

في واحدة من أبرز الحوادث الأخيرة، أصدرت شركة Fortinet تحذيرًا بشأن استغلال ثغرات في أجهزتها من نوع FortiGate، حيث تمكن المهاجمون من الاحتفاظ بالوصول إلى هذه الأجهزة حتى بعد تثبيت التحديثات الأمنية، عبر استغلال ما يُعرف بـ “الوصلة الرمزية – Symlink” في خدمة SSL-VPN.

هذا النوع من الهجمات يُظهر تطورًا ملحوظًا في أساليب التخفي والبقاء داخل الأنظمة لفترات طويلة دون اكتشاف.

خطورة الهجمات على الأمن القومي

بحسب تصريحات خبراء الأمن السيبراني، فإن استهداف البنية التحتية لا يُعد مجرد هجوم رقمي، بل يمكن اعتباره عملًا عدائيًا يوازي الهجمات العسكرية في نتائجه، خاصةً إذا أسفر عن شلل في شبكات الكهرباء، المياه، أو خدمات الطوارئ.

كما أصدرت كل من:

• وكالة الأمن السيبراني الأمريكية (CISA)

• فريق الاستجابة الفرنسي للطوارئ السيبرانية (CERT-FR)

تحذيرات واضحة بشأن هذه التهديدات، داعين إلى:

• تحديث الأنظمة فورًا.

• مراجعة الإعدادات بالكامل.

• إعادة ضبط بيانات الاعتماد الحساسة.

• تقليل الاعتماد على الاتصالات غير المشفرة أو الخدمات المكشوفة.

الحاجة إلى استراتيجية دفاعية وطنية

مع تصاعد وتيرة الهجمات، أصبحت الحاجة ملحة لبناء إستراتيجية وطنية متكاملة للأمن السيبراني تشمل:

• تدريب الكوادر الأمنية.

• تحديث البنى التحتية الرقمية.

• رصد التهديدات باستخدام الذكاء الاصطناعي.

• التعاون الإقليمي والدولي لتبادل المعلومات.

وأوضحت الشركة أن المهاجمين استغلوا ثغرات أمنية معروفة – جرى تصحيحها لاحقًا – من ضمنها:

• CVE-2022-42475

• CVE-2023-27997

• CVE-2024-21762

وقالت Fortinet في بيان أمني:

“استغل فاعل تهديد ثغرة معروفة لتنفيذ وصول للقراءة فقط على أجهزة FortiGate المصابة. وقد تم ذلك من خلال إنشاء وصلة رمزية (Symlink) تربط بين نظام ملفات المستخدم ونظام ملفات الجذر داخل مجلد مخصص لتقديم ملفات اللغة في واجهة SSL-VPN.”

وصول خفي يستمر بعد التحديث

حدثت التعديلات في نظام ملفات المستخدم، ما جعلها تتفادى الاكتشاف من قبل الأنظمة الأمنية. وبقيت الوصلة الرمزية قائمة حتى بعد تثبيت التحديثات التي أغلقت ثغرة الوصول الأولي، مما سمح للمهاجمين بالوصول إلى ملفات النظام – بما في ذلك ملفات الإعدادات – دون القدرة على التعديل.

لكن تجدر الإشارة إلى أن الأجهزة التي لم تُفعّل وظيفة SSL-VPN لا تتأثر بهذه المشكلة.

لا استهداف جغرافي محدد وتحذيرات للعملاء

لم تُحدد Fortinet الجهة المسؤولة عن هذه الأنشطة، لكنها أكدت أن الهجمات لم تستهدف منطقة جغرافية أو قطاع صناعي معين. كما قامت الشركة بإبلاغ العملاء المتأثرين بشكل مباشر.

خطوات التخفيف من الأثر وتحديثات FortiOS

أصدرت Fortinet مجموعة تحديثات لنظام التشغيل FortiOS لمعالجة المشكلة والحد من استمرارها:

• في الإصدارات: FortiOS 7.4، 7.2، 7.0، 6.4
  ➤ تم تعريف الوصلة الرمزية كعنصر خبيث ليقوم محرك مكافحة الفيروسات بحذفها تلقائيًا.

• في الإصدارات: 7.6.2، 7.4.7، 7.2.11، 7.0.17، 6.4.16
  ➤ تم إزالة الوصلة الرمزية وتعديل واجهة SSL-VPN لمنع تحميل أي رموز خبيثة مشابهة.

تنصح Fortinet العملاء بـ:

• تحديث أجهزتهم إلى الإصدارات المذكورة.

• مراجعة ملفات الإعدادات باعتبارها قد تكون تعرضت للاختراق.

• تنفيذ خطوات التعافي المناسبة.

تحذيرات من CISA وCERT-FR

أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) تحذيرًا خاصًا، نصحت فيه المستخدمين بـ:

• إعادة تعيين بيانات الاعتماد المكشوفة.

• تعطيل وظيفة SSL-VPN مؤقتًا حتى يتم تثبيت التحديثات.

كما أشار فريق الاستجابة للطوارئ في فرنسا (CERT-FR) إلى أن بعض حالات الاختراق تعود إلى بدايات عام 2023.

تصريحات من watchTowr: الهجمات أصبحت أسرع من التحديثات

قال “بنيامين هاريس”، الرئيس التنفيذي لشركة watchTowr، إن الحادثة تثير القلق لأمرين:

“أولاً، أصبح الاستغلال في العالم الحقيقي أسرع بكثير من قدرة المؤسسات على تثبيت التحديثات.”
“ثانيًا، والأخطر، أن المهاجمين باتوا على دراية عميقة بهذا الواقع.”

وأوضح أن الهجمات لم تعد تكتفي بالاستغلال المؤقت، بل أصبح القراصنة ينشرون أبوابًا خلفية مصممة للبقاء حتى بعد التحديثات أو إعادة ضبط الأجهزة للمصنع.

وأضاف أن شركته رصدت حالات تثبيت أبواب خلفية في مؤسسات تُعتبر جزءًا من البنية التحتية الحيوية.

]]> https://ccforrs.com/%d8%aa%d9%86%d8%a8%d9%8a%d9%87-%d9%85%d9%86-fortinet-%d8%a7%d9%84%d9%85%d9%87%d8%a7%d8%ac%d9%85%d9%88%d9%86-%d9%8a%d8%ad%d8%aa%d9%81%d8%b8%d9%88%d9%86-%d8%a8%d8%a7%d9%84%d9%88%d8%b5%d9%88%d9%84/feed/ 0 https://ccforrs.com/%d9%82%d8%b1%d8%a7%d8%b5%d9%86%d8%a9-%d8%b5%d9%8a%d9%86%d9%8a%d9%88%d9%86-%d9%8a%d8%ae%d8%aa%d8%b1%d9%82%d9%88%d9%86-%d8%a3%d8%ac%d9%87%d8%b2%d8%a9-%d8%aa%d9%88%d8%ac%d9%8a%d9%87-juniper-networks/ https://ccforrs.com/%d9%82%d8%b1%d8%a7%d8%b5%d9%86%d8%a9-%d8%b5%d9%8a%d9%86%d9%8a%d9%88%d9%86-%d9%8a%d8%ae%d8%aa%d8%b1%d9%82%d9%88%d9%86-%d8%a3%d8%ac%d9%87%d8%b2%d8%a9-%d8%aa%d9%88%d8%ac%d9%8a%d9%87-juniper-networks/#respond Thu, 13 Mar 2025 11:07:05 +0000 https://ccforrs.com/?p=11032 كشفت تقارير حديثة عن استهداف مجموعة التجسس السيبراني UNC3886، المرتبطة بالصين، لأجهزة التوجيه MX التي وصلت إلى نهاية عمرها الافتراضي من Juniper Networks، في حملة تهدف إلى نشر أبواب خلفية مخصصة، مما يعكس قدرتهم على اختراق البنية التحتية الداخلية للشبكات.

تفاصيل الاختراق

أوضحت شركة Mandiant، المملوكة لـ Google، في تقرير نشرته The Hacker News أن البرمجيات الخبيثة المستخدمة تضمنت أبوابًا خلفية بميزات متطورة، مثل:

• وظائف نشطة وسلبية لتشغيل الأبواب الخلفية.
• تعطيل آليات تسجيل الدخول على الأجهزة المستهدفة لمنع اكتشاف النشاط الضار.

ووفقًا لـ Mandiant، فإن هذه الحملة تمثل تطورًا كبيرًا في أساليب الهجوم لدى UNC3886، والتي استغلت سابقًا ثغرات يوم الصفر في أجهزة Fortinet وIvanti وVMware لاختراق شبكات المؤسسات المستهدفة.

تم توثيق نشاط UNC3886 لأول مرة في سبتمبر 2022، ويُنظر إليهم كجهة تهديد متقدمة تستهدف أجهزة الحافة وتقنيات المحاكاة الافتراضية، بهدف اختراق القطاعات الدفاعية والتكنولوجية والاتصالات في الولايات المتحدة وآسيا.

التكتيكات الحديثة للقرصنة

يعتمد القراصنة على حقيقة أن أجهزة البنية التحتية الشبكية لا تحتوي على حلول مراقبة أمنية متقدمة، مما يسمح لهم بالبقاء غير مكتشفين لفترات طويلة.

وأوضحت Mandiant أن استهداف أجهزة التوجيه يمثل اتجاهًا متزايدًا بين مجموعات التجسس السيبراني، حيث يمنحهم ذلك وصولًا طويل الأمد وعالي المستوى إلى الشبكات، مع إمكانية تنفيذ عمليات أكثر تدميرًا في المستقبل.

استخدام TinyShell في الهجمات

تم رصد أحدث أنشطة المجموعة في منتصف 2024، حيث تم استخدام برمجيات خبيثة تعتمد على TinyShell، وهو باب خلفي مكتوب بلغة C استخدمته مجموعات قرصنة صينية أخرى مثل Liminal Panda وVelvet Ant.

أنواع الأبواب الخلفية المستخدمة:

1. appid: يدعم تحميل/تنزيل الملفات، تشغيل أوامر عن بعد، ووكيل SOCKS.
2. to: مشابه لـ appid ولكن بخوادم C2 مختلفة.
3. irad: يعمل كباب خلفي سلبي يستخدم تقنية التقاط الحزم (libpcap) لاستخراج الأوامر عبر حزم ICMP.
4. lmpad: يقوم بحقن البرمجيات الخبيثة في عمليات نظام التشغيل Junos OS لتعطيل التسجيل.
5. jdosd: باب خلفي يعتمد على UDP مع ميزات نقل الملفات والتحكم عن بعد.
6. oemd: باب خلفي يتصل بخادم التحكم عبر TCP ويدعم أوامر TinyShell القياسية.

تجاوز حماية Junos OS

تمكن القراصنة من تنفيذ البرمجيات الخبيثة عبر الالتفاف على آلية Verified Exec (veriexec) في نظام Junos OS، والتي تمنع تشغيل التعليمات البرمجية غير الموثوقة. تم ذلك عبر الوصول إلى الجهاز ببيانات اعتماد شرعية من خلال خادم طرفي لإدارة الأجهزة الشبكية، ثم حقن الحمولة الخبيثة في الذاكرة عبر عملية cat الشرعية.

أدوات قرصنة أخرى مستخدمة

إلى جانب الأبواب الخلفية، استخدمت مجموعة UNC3886 أدوات متقدمة مثل:

• Reptile وMedusa: جُذور خفية (Rootkits) لإخفاء العمليات الضارة.
• PITHOOK: لاختطاف بيانات تسجيل الدخول عبر SSH.
• GHOSTTOWN: لإخفاء الأدلة الرقمية وتعطيل عمليات التحليل الجنائي.

التوصيات الأمنية

🔹 توصي Mandiant المؤسسات بتحديث أجهزة Juniper إلى أحدث الإصدارات، والتي تتضمن إصلاحات أمنية وآلية محسّنة لإزالة البرمجيات الخبيثة عبر أداة Juniper Malware Removal Tool (JMRT).

يأتي هذا التطور بعد أكثر من شهر على كشف مختبرات Lumen Black Lotus عن استهداف أجهزة التوجيه من Juniper Networks ببرمجيات خلفية مخصصة ضمن حملة J-magic، والتي تضمنت نسخة متطورة من الباب الخلفي cd00r.

أكد باحثو Mandiant أن الهجمات الأخيرة تظهر أن UNC3886 تمتلك معرفة متقدمة بالبنية الداخلية لأنظمة Junos OS، مع تركيز واضح على التخفي طويل الأمد عبر الأبواب الخلفية السلبية، والتلاعب بسجلات النظام، مما يقلل من خطر اكتشافهم.

]]> https://ccforrs.com/%d9%82%d8%b1%d8%a7%d8%b5%d9%86%d8%a9-%d8%b5%d9%8a%d9%86%d9%8a%d9%88%d9%86-%d9%8a%d8%ae%d8%aa%d8%b1%d9%82%d9%88%d9%86-%d8%a3%d8%ac%d9%87%d8%b2%d8%a9-%d8%aa%d9%88%d8%ac%d9%8a%d9%87-juniper-networks/feed/ 0