مركز الأمن السيبراني للأبحاث والدراسات CCRS https://ccforrs.com Thu, 15 May 2025 01:44:41 +0000 ar hourly 1 https://wordpress.org/?v=6.8.1 مركز الأمن السيبراني للأبحاث والدراسات CCRS false مجموعة Earth Ammit تخترق سلاسل توريد الطائرات المسيرة عبر أنظمة ERP في حملات VENOM وTIDRONE https://ccforrs.com/%d9%85%d8%ac%d9%85%d9%88%d8%b9%d8%a9-earth-ammit-%d8%aa%d8%ae%d8%aa%d8%b1%d9%82-%d8%b3%d9%84%d8%a7%d8%b3%d9%84-%d8%aa%d9%88%d8%b1%d9%8a%d8%af-%d8%a7%d9%84%d8%b7%d8%a7%d8%a6%d8%b1%d8%a7%d8%aa-%d8%a7/ https://ccforrs.com/%d9%85%d8%ac%d9%85%d9%88%d8%b9%d8%a9-earth-ammit-%d8%aa%d8%ae%d8%aa%d8%b1%d9%82-%d8%b3%d9%84%d8%a7%d8%b3%d9%84-%d8%aa%d9%88%d8%b1%d9%8a%d8%af-%d8%a7%d9%84%d8%b7%d8%a7%d8%a6%d8%b1%d8%a7%d8%aa-%d8%a7/#respond Sun, 18 May 2025 05:30:53 +0000 https://ccforrs.com/?p=12434 كشف باحثون أمنيون عن مجموعة تجسس سيبراني تُعرف باسم Earth Ammit، ارتبطت بحملتين هجوميتين بين عامي 2023 و2024، استهدفتا:

  • قطاعات عسكرية وصناعية وتقنية في تايوان وكوريا الجنوبية.

  • شركات طائرات مسيرة، أقمار صناعية، إعلام، وخدمات برمجيات.

تفاصيل الحملات الهجومية

1. حملة VENOM: اختراق سلاسل التوريد

  • الهدف الرئيسي: مزودو خدمات البرمجيات.

  • طريقة الهجوم:

    • استغلال ثغرات في خوادم الويب لتنصيب أصداف ويب (Web Shells).

    • استخدام أدوات مفتوحة المصدر مثل REVSOCK وSliver لإرباك جهات التتبع.

    • نشر برمجية خبيثة مخصصة تُدعى VENFRPC (مشتقة من أداة FRP).

  • الهدف النهائي:

    • سرقة بيانات الاعتماد للوصول إلى عملاء “ذوي قيمة عالية” عبر هجمات سلسلة التوريد.

2. حملة TIDRONE: استهداف الصناعات العسكرية

  • الهدف الرئيسي: شركات تصنيع الطائرات المسيرة.

  • الأدوات المستخدمة:

    • CXCLNT: برمجية خلفية (Backdoor) تعمل بنظام “الوحدات القابلة للتحديث” من خوادم التحكم.

    • CLNTEND: نسخة مطورة من CXCLNT مع تقنيات تجنب الاكتشاف.

    • TrueSightKiller: تعطيل برامج مكافحة الفيروسات.

    • SCREENCAP: أداة لالتقاط لقطات الشاشة.

العلاقة بين الحملتين

  • مشاركة البنية التحتية لخوادم التحكم (C&C).

  • استهداف ضحايا مشتركة، خاصة في تايوان وكوريا الجنوبية.

  • تشابه أساليب الهجوم (TTPs) مع مجموعة Dalbit (المشتبه في صلتها بجهات صينية).

كيف تم اختراق أنظمة ERP؟

اعتمدت المجموعة على:

  1. ثغرات في أنظمة تخطيط موارد المؤسسات (ERP) لدخول الشبكات.

  2. قنوات اتصال موثوقة (مثل أدوات المراقبة عن بُعد) لنشر البرمجيات الخبيثة.

  3. هجمات متدرجة:

    • البدء بأدوات منخفضة التكلفة (مفتوحة المصدر).

    • الترقية إلى برمجيات مخصصة لاختراق أعمق.

حملة Swan Vector: استهداف اليابان وتايوان

كشفت Seqrite Labs عن حملة تجسس أخرى تُدعى Swan Vector، تتميز بـ:

  • رسائل تصيد إلكتروني تتظاهر بكونها سير ذاتية لوظائف وهمية.

  • أداة Pterois: لتنزيل Cobalt Strike (إطار اختراق ما بعد الاستغلال).

  • أداة Isurus: تُحمل من Google Drive لتنفيذ هجمات متقدمة.

  • تقنيات التخفي:

    • تحميل DLL جانبي (Side-Loading).

    • حذف الذات (Self-Deletion).

    • استدعاء واجهات برمجة التطبيقات (API) بشكل مشفر.

توصيات أمنية عاجلة

  1. تحديث أنظمة ERP وفحصها دوريًا.

  2. مراقبة حركة الشبكة لاكتشاف اتصالات غير معتادة.

  3. توعية الموظفين حول تصيد البريد الإلكتروني.

  4. استخدام حلول أمنية متقدمة لاكتشاف البرمجيات الخبيثة المعقدة.

الخلاصة: لماذا هذه الهجمات خطيرة؟

تستهدف Earth Ammit سلاسل التوريد الحيوية، مما يمنحها وصولًا إلى شبكات عسكرية وصناعية حساسة. يُظهر هذا التكتيك تطورًا في حروب التجسس السيبراني، حيث يصبح اختراق مورد واحد بوابة لاختراق عشرات الضحايا.

]]> https://ccforrs.com/%d9%85%d8%ac%d9%85%d9%88%d8%b9%d8%a9-earth-ammit-%d8%aa%d8%ae%d8%aa%d8%b1%d9%82-%d8%b3%d9%84%d8%a7%d8%b3%d9%84-%d8%aa%d9%88%d8%b1%d9%8a%d8%af-%d8%a7%d9%84%d8%b7%d8%a7%d8%a6%d8%b1%d8%a7%d8%aa-%d8%a7/feed/ 0