مركز الأمن السيبراني للأبحاث والدراسات CCRS https://ccforrs.com Thu, 15 May 2025 22:35:31 +0000 ar hourly 1 https://wordpress.org/?v=6.8.1 مركز الأمن السيبراني للأبحاث والدراسات CCRS false مجموعة APT28 المرتبطة بروسيا تستغل ثغرة صفرية في MDaemon لاختراق خوادم بريد حكومية https://ccforrs.com/%d9%85%d8%ac%d9%85%d9%88%d8%b9%d8%a9-apt28-%d8%a7%d9%84%d9%85%d8%b1%d8%aa%d8%a8%d8%b7%d8%a9-%d8%a8%d8%b1%d9%88%d8%b3%d9%8a%d8%a7-%d8%aa%d8%b3%d8%aa%d8%ba%d9%84-%d8%ab%d8%ba%d8%b1%d8%a9-%d8%b5%d9%81/ https://ccforrs.com/%d9%85%d8%ac%d9%85%d9%88%d8%b9%d8%a9-apt28-%d8%a7%d9%84%d9%85%d8%b1%d8%aa%d8%a8%d8%b7%d8%a9-%d8%a8%d8%b1%d9%88%d8%b3%d9%8a%d8%a7-%d8%aa%d8%b3%d8%aa%d8%ba%d9%84-%d8%ab%d8%ba%d8%b1%d8%a9-%d8%b5%d9%81/#respond Sun, 18 May 2025 13:19:32 +0000 https://ccforrs.com/?p=12453 كشفت شركة ESET للأمن السيبراني عن حملة تجسس إلكتروني جديدة تُنسب إلى مجموعة APT28 المرتبطة بالحكومة الروسية، حيث استغل المهاجمون ثغرات Cross-Site Scripting (XSS) في أنظمة بريد إلكتروني شهيرة مثل Roundcube وHorde وMDaemon وZimbra، بما في ذلك ثغرة صفرية (Zero-Day) في نظام MDaemon.

أُطلق على هذه الحملة اسم “Operation RoundPress”، وتم ربطها بمتوسط ثقة بمجموعة APT28 المعروفة أيضًا بأسماء مثل:

  • Fancy Bear

  • Sednit

  • Sofacy

  • Pawn Storm

أهداف الحملة وضحاياها

قال الباحث ماتيو فاو من ESET:
“الهدف النهائي لهذه العملية هو سرقة بيانات حساسة من حسابات بريد إلكتروني محددة. معظم الضحايا هم كيانات حكومية وشركات دفاع في أوروبا الشرقية، لكننا لاحظنا استهداف حكومات في أفريقيا وأوروبا وأمريكا الجنوبية أيضًا.”

🔹 أبرز الضحايا:

  • جهات حكومية أوكرانية (الأكثر استهدافًا في 2024).

  • شركات دفاع في بلغاريا ورومانيا (تنتج أسلحة سوفيتية لإرسالها إلى أوكرانيا).

  • منظمات حكومية وعسكرية وأكاديمية في:

    • اليونان

    • الكاميرون

    • الإكوادور

    • صربيا

    • قبرص

كيف تعمل الهجمات؟

  1. استغلال ثغرات XSS في أنظمة البريد (مثل CVE-2023-43770 في Roundcube وCVE-2024-27443 في Zimbra).

  2. إرسال بريد إلكتروني خبيث يحتوي على كود JavaScript مخفي في نص الرسالة (غير مرئي للمستخدم).

  3. عند فتح الرسالة في الواجهة المعرضة للثغرة، يُنفَّذ كود تجسس يسمى SpyPress يقوم بـ:

    • سرقة بيانات الاعتماد.

    • جمع الرسائل وجهات الاتصال من صندوق البريد.

    • في بعض الحالات، إنشاء قواعد Sieve لإعادة توجيه كل البريد الوارد إلى خادم المهاجم!

◼ الثغرة الصفرية في MDaemon (CVE-2024-11182)

  • تم تصحيحها في الإصدار 24.5.1 (نوفمبر 2024).

  • كانت تُستغل كـ Zero-Day قبل اكتشافها.

كيف يتم تسريب البيانات؟

بعد جمع المعلومات، تُرسل عبر طلب HTTP POST إلى خادم تحكم (C2) يسيطر عليه المهاجمون.
بعض المتغيرات الخبيثة تستطيع أيضًا:

  • تسجيل سجلات الدخول.

  • سرقة رموز المصادقة الثنائية (2FA).

  • إنشاء كلمة مرور تطبيقية في MDaemon للاحتفاظ بالوصول حتى بعد تغيير كلمة السر!

تحذيرات أمنية

أكد الباحثون أن خوادم البريد الإلكتروني أصبحت هدفًا رئيسيًا لمجموعات التجسس بسبب:

  1. تأخر العديد من المؤسسات في تحديث أنظمتها.

  2. إمكانية استغلال الثغرات عن بُعد بمجرد إرسال بريد إلكتروني.

🛡️ نصائح للحماية:

✔ تحديث أنظمة إدارة البريد الإلكتروني فور صدور التصحيحات.
✔ فحص رسائل البريد المشبوهة قبل فتحها.
✔ تفعيل المصادقة الثنائية (2FA).
✔ مراقبة حركة البيانات غير المعتادة على الخوادم.

]]> https://ccforrs.com/%d9%85%d8%ac%d9%85%d9%88%d8%b9%d8%a9-apt28-%d8%a7%d9%84%d9%85%d8%b1%d8%aa%d8%a8%d8%b7%d8%a9-%d8%a8%d8%b1%d9%88%d8%b3%d9%8a%d8%a7-%d8%aa%d8%b3%d8%aa%d8%ba%d9%84-%d8%ab%d8%ba%d8%b1%d8%a9-%d8%b5%d9%81/feed/ 0