هاكرز “بلاي رانسوموير” يستغلون ثغرة ويندوز صفرية لاختراق مؤسسة أمريكية

هاكرز "بلاي رانسوموير" يستغلون ثغرة ويندوز صفرية لاختراق مؤسسة أمريكية
هاكرز "بلاي رانسوموير" يستغلون ثغرة ويندوز صفرية لاختراق مؤسسة أمريكية
شارك هذا الخبر
كشف باحثو الأمن لدى سيمانتيك (المملوكة لـ برودكوم) عن استغلال قراصنة مرتبطين بعصابة بلاي رانسوموير (Play Ransomware) لثغرة أمنية في نظام ويندوز (CVE-2025-29824) كـ هجوم صفري (Zero-Day) لاختراق مؤسسة أمريكية غير مكشوفة.

تفاصيل الثغرة المستغلة

  • الثغرة: تتصدر في نظام ملفات السجلات المشترك (CLFS Driver) وتسمح بتصعيد الصلاحيات.

  • تم تصحيحها: بواسطة مايكروسوفت في أبريل ٢٠٢٥.

  • طريقة الاختراق:

    • دخول أولي عبر جهاز سيسكو ASA (Adaptive Security Appliance).

    • استخدام أداة Grixba لسرقة البيانات (مخصصة لعصابة بلاي).

    • إسقاط ملفات ضارة في مجلد Music بأسماء ملفات مزيفة مثل paloaltoconfig.exe لمحاكاة برامج بالو ألتو نتوركس.

كيف تم تنفيذ الهجوم؟

  1. جمع معلومات الشبكة:

    • استخراج بيانات Active Directory وحفظها في ملف CSV.

  2. حقن أكواد خبيثة:

    • إنشاء ملفي PDUDrv.blf وclssrv.inf في مسار C:\ProgramData\SkyPDF.

    • حقن DLL في عملية winlogon.exe.

  3. تصعيد الصلاحيات:

    • استخدام ملف servtask.bat لإنشاء مستخدم جديد (LocalSvc) وإضافته لمجموعة المشرفين.

    • تنظيف الآثار عبر ملف cmdpostfix.bat.تنظيف الآثار عبر ملف cmdpostfix.bat.

ملاحظة: لم يتم نشر برنامج الفدية في هذه العملية، مما يشير إلى أن الهجوم كان في مرحلة الاستطلاع.

اتجاهات جديدة في هجمات برامج الفدية

1. استغلال الثغرات الصفرية

  • ذكرت سيمانتيك أن عصابة بلاك باستا (Black Basta) استغلت ثغرة CVE-2024-26169 في خدمة Windows Error Reporting كـ “صفرية” عام ٢٠٢٤.

2. تقنية “جامل مُثبِّتك بنفسك” (BYOI) لتجاوز أنظمة الحماية

  • كشفت آون (Aon) عن هجوم جديد يستغل ضعفًا في عملية تحديث برنامج SentinelOne EDR لإيقاف الحماية عبر:

    • تشغيل ملف تثبيت MSI شرعي.

    • إيقاف عملية التثبيت بقوة باستخدام taskkill بعد إنهاء خدمات الحماية.

  • الحل: قامت SentinelOne بتمكين الترقية الآمنة افتراضيًا.

3. استهداف وحدات التحكم في النطاق (Domain Controllers)

  • وفقًا لـ مايكروسوفت:

    • 78% من الهجمات تخترق Domain Controller.

    • 35% من حالات انتشار البرامج الضارة تكون عبر هذه الخوادم.

4. ظهور “عصابات الفدية كخدمة” (RaaS) جديدة

  • بلاي بوي لوكر (PlayBoy Locker): تقدم أدوات لاستهداف ويندوز، NAS، وESXi مع دعم فني للمتسللين.

  • دراجون فورس (DragonForce): أطلقت “كارتل برامج الفدية” وتستغل منصة RansomHub السابقة.

زيادة هجمات الفدية في ٢٠٢٥

  • ارتفاع بنسبة 25% مقارنة بعام ٢٠٢٤.

  • 53% زيادة في مواقع تسريب البيانات التابعة لعصابات الفدية.

  • الهدف الجديد: الشركات المتوسطة ذات الحماية المحدودة.

تحذير: وفقًا لـ بيتسايت، تنتشر مجموعات الفدية الصغيرة بسرعة تفوق قدرة الجهات الأمنية على مواجهتها.

وسوم
محمد طاهر
محمد طاهر
المقالات: 253

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


انتهت فترة التحقق من reCAPTCHA. يُرجى إعادة تحميل الصفحة.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة