【資安週報】2023年11月20日到11月24日

من بين أخبار الثغرات الأمنية هذا الأسبوع، هناك إصلاحان رئيسيان للثغرات الأمنية يحتاجان إلى الاهتمام، بما في ذلك تصحيح جونسون كونترولز لنقاط الضعف الرئيسية في نظام التبريد الصناعي الخاص بها، وتصحيح Fortinet لنقاط الضعف الرئيسية في FortiSIEM، ومعدات المراقبة بالفيديو وتسجيل الصور (N).VR) وتم اكتشاف أجهزة التوجيه من قبل المتسللين الذين لديهم ثغرات أمنية جديدة في يوم الصفر وتم استغلالها في الانتشارميرالتهديد الخطير المتمثل في فيروس JenX، Akamai، الذي يكشف حاليًا عن الأمر، حذر أولاً وأخطر الشركات المصنعة ذات الصلة، ومن المتوقع إصدار نسخة جديدة من التصحيح في ديسمبر.

بالإضافة إلى ذلك، قمنا بالإبلاغ عن ثغرة تجاوز سعة المخزن المؤقت لمكتبة GNU CVE-10-2023 (Looney Tunables) في أوائل أكتوبر، وقد وجدنا مؤخرًا علامات على أن المهاجمين قد بدأوا في استغلال هذه الثغرة الأمنية المعروفة في أخبار أمن المعلومات اليومية لهذا الأسبوع ذكرنا ذلك.

محلياً، أصبحت العديد من حوادث أمن المعلومات هي محور الاهتمام، وكلها تتعلق بالشركات المدرجة، وقد قمنا بتلخيصها على النحو التالي:
(11) لأول مرة، وقع حادثان خطيران في مجال أمن المعلومات في يوم واحد: في 20 نوفمبر، أصدرت شركة صناعة السياحة "ليون" وصناعة البلاستيك "سينوبيك" على التوالي حادثتين كبيرتين في مجال أمن المعلومات، مما يشير إلى تعرضهما لهجوم من قبل قراصنة . ومن بينها، ذكر ليون تحذير مكافحة الاحتيال لتذكير الركاب بأن بيانات العملاء ربما تكون قد تسربت. وهذه هي المرة الثانية التي تعلن فيها الشركة عن تعرضها للاختراق في العامين الماضيين. إن إفصاح سينوبك محدود للغاية ولا يمكنها تقديم أي شيء معلومات للدفاع المشترك بين المؤسسات والمنظمات معلومات ملموسة ومفيدة.
(20) أصدرت Dajiang Biomedical معلومات رئيسية حول حادث أمن المعلومات، مؤكدة أن نظام المعلومات تعرض لهجوم سيبراني: عندما صدر العدد الأخير من مجلة أمن المعلومات الأسبوعية في العشرين، كنا أول من أبلغ عن صناعة التكنولوجيا الحيوية " تم الاشتباه في تعرض "Dajiang" للاختراق من قبل Hunters في الخامس عشر. تم إدراج منظمة برامج الفدية الدولية كضحية. تابعت وسائل الإعلام الأخرى هذه الأخبار وأبلغت عن هذا الخبر في الثاني والعشرين. اتصلنا أيضًا بـ Dajiang مرة أخرى ولم نتلق أي رد. ولم يكن الأمر كذلك حتى نوفمبر 15 (مساء الجمعة) أن داجيانغ أعلنت أخيرا تعرضها لهجمات إلكترونية.
(3) تم الكشف عن تعرض CyberLink للاختراق من قبل شركة Microsoft، حيث شن المتسلل الكوري الشمالي Lazarus هجومًا على سلسلة التوريد على الشركة، مما أدى إلى منع المستخدمين الجدد لمنتجات Promeo الخاصة بهم: في نفس اليوم الذي تم فيه الكشف عن هذه الحادثة، أصدرت CyberLink إعلانًا على موقعها الإلكتروني. يشير موقع الويب إلى أنه تم العثور على برنامج ضار في برنامج تثبيت المنتج "Promeo". وقد قاموا بإزالة المشكلة وسيتم تحديث شهادة أمان البرنامج في المستقبل.
بالإضافة إلى ذلك، وردت هذا الأسبوع تقارير في البلاد تفيد بعدم توفر نظام التسجيل في المستشفى المركزي العام، واختفاء معلومات المواعيد، والاشتباه في تعرضه لهجوم عبر الإنترنت، كما أصدر اليوان القضائي تفسيرًا جديدًا للتسرب من بيانات الحكم.

فيما يتعلق بالتهديدات والحوادث المتعلقة بأمن المعلومات، تستحق تهديدات واتجاهات برامج الفدية أكبر قدر من الاهتمام، وقد تم الكشف عن أربعة أخبار، والتي قمنا بتلخيصها على النحو التالي:
●فيما يتعلق بأضرار برنامج الفدية Rhysida، فإن وكالة CISA الأمريكية،FBأصدرت أنا وMS-ISAC تحذيرًا مشتركًا يفيد بأن هجماتها تستهدف بشكل أساسي قطاعات التعليم والطب والتصنيع وصناعة المعلومات والحكومة. تكشف هذه المعلومات العامة عن TTP وIoC الذي يستخدمه برنامج الفدية، مما يسمح للمؤسسات بفهم استراتيجيات وتقنيات الهجوم، بالإضافة إلى تدابير التخفيف المختلفة.
●فيما يتعلق بالاتجاهات الجديدة لبرامج الفدية BlackCat، أشار بعض خبراء صناعة أمن المعلومات إلى أن التطورات الأخيرةمبتدئالقسم موجود جوجلأعلن تحت ستار تقديم تطبيقات معروفة مثل Advanced IP Scanner، Slack، WinSCP)، تجذب مستخدمي الإنترنت للاتصال بمواقع التصيد الاحتيالي وتنزيل البرامج المزروعة بالبرنامج الخبيث Nitrogen.
●ظهر برنامج الفدية Phobos مرة أخرى، وكشف باحثون أمنيون أنهم استهدفوا مؤخرًا مجتمع الأمان VX-Underground.
●قد يتكثف التهديد من مجموعة قراصنة برامج الفدية Play مؤخرًا، كشف أفراد الأمن أن المنظمة تعرض أدواتها للإيجار في محاولة لجذب المزيد من البلطجية للانضمام.

فيما يتعلق بأساليب الهجوم الناشئة وحالات التهديد المهمة الأخرى، نعتقد أن الطريقة الجديدة لبرنامج سرقة الأصول Lumma واستخدام الملفات المضغوطة لشن الهجمات هي الأكثر جدارة بالملاحظة.
●من أجل تجنب الكشف، يستخدم برنامج سرقة الأصول Lumma مسارات الماوس لتحديد عمليات الشخص الحقيقي قبل تنفيذ برنامج سرقة الأصول، حتى أن باحثًا آخر في مجال أمن المعلومات كشف أن مطوري Lumma ادعوا أنهم قادرون على الاستعادة جوجلأثناء مرحلة ربط الحساب، يظل حساب الضحية رهينة.
●يجب الانتباه إلى استخدام الملفات المضغوطة لنشر الخبث. لقد وقعت ثلاث حوادث ذات صلة هذا الأسبوع. أولاً، يجب على موظفي السفارة الانتباه. استهدف الهاكر الروسي APT29 العديد من الهجمات على شبكة السفارات الأوروبية وأطلق WinRARهجمات الثغرات الأمنية، لذا يجب على مستخدمي العملات المشفرة أن يدركوا أن مجموعة القراصنة DarkCasino تستهدف هؤلاء المستخدمين من خلال استغلال ثغرة WinRAR، وقد استغل وكيل البرامج الذي يسرق الأموال Tesla حديثًا تنسيق ZPAQ لتقليل الملفات الكبيرة بحجم 1 جيجا بايت إلى ملف بحجم 6 كيلو بايت فقط ربما لتجنب عمليات الفحص لمكافحة الفيروسات.
●يجب على مطوري بايثون أيضًا الانتباه. كشفت صناعة أمن المعلومات أنه في الأشهر الستة الماضية، أطلق المتسللون 27 حزمة PyPI تحاكي الحزم المعروفة، وتستخدم أيضًا صور PNG لإخفاء نوايا الهجوم.

وأخيرا، هناك نوعان من الكشف عن اتجاهات القرصنة على مستوى الدولة التي تستحق الاهتمامإنذار، بما في ذلك: استهدفت منظمة القرصنة الصينية Mustang Panda وحدات عسكرية في دول جنوب شرق آسيا، وتظاهر المتسللون بتقديم برنامج Solid PDF Creator.أندونيسيايستخدم برنامج مكافحة الفيروسات Smadav هذه التطبيقات لتحميل البرامج الضارة، ويستهدف المتسلل الروسي Gamaredon المنظمات الأوكرانية ويوزع فيروس USB المتنقل LitterDrifter.

[11 نوفمبر] قام المتسللون بتوزيع أكثر من 20 حزمة PyPI ضارة في الأشهر الستة الماضية، باستخدام صور PNG لإخفاء نوايا الهجوم، وقد وقع المطورون ضحية لها في الولايات المتحدة والصين وفرنسا.

لقد كثرت الهجمات ضد المطورين في الآونة الأخيرة، وظهرت أساليب متطورة بشكل متزايد، على سبيل المثال، يتم دفن كود الهجوم في وحدة نمطية معينة من الحزمة الضارة، وبمجرد قيام المطور بتثبيت الحزمة وفقًا للتعليمات، لن يتم تنفيذ التعليمات البرمجية الضارة على الفور التنفيذ، ولكن انتظر حتى يتم استدعاء الوظيفة المحددة قبل تحميلها معًا.

ظهرت أساليب مماثلة مؤخرًا في أساليب جديدة أخرى، مثل هجوم مجموعة PyPI الخبيث الذي كشفت عنه شركة الأمن Checkmarx. يحاول المهاجمون دفن التعليمات البرمجية الضارة في صور PNG خارجية، مما يجعل حزمة PyPI نفسها تبدو غير ضارة.

[11 نوفمبر] استهدفت منظمة القرصنة الصينية موستانج باندا جنوب شرق آسيا وشنت العديد من هجمات التصيد الاحتيالي، ويُشتبه في أن السبب مرتبط بالصراع العسكري في الفلبين في أغسطس.

وفي النصف الأول من هذا العام، كانت هناك هجمات متكررة من قبل منظمة القرصنة الصينية موستانج باندا، وكانت أهداف هؤلاء الهاكرز مرتبطة بالحرب في أوكرانيا، واستهدفت معظمها الدول الأوروبية التي ساعدت البلاد.

لكن في النصف الثاني من العام، بدأ هؤلاء المتسللون في تغيير أهدافهم وركزوا هجماتهم مرة أخرى على دول جنوب شرق آسيا التي استهدفوها سابقًا. على سبيل المثال، استهدفت الهجمات التي وقعت في أغسطس دول جنوب شرق آسيا، وتكهن الباحثون بأن هذه الموجة من الهجمات كانت مرتبطة بشكل أساسي بالصراع في الفلبين.

[11 نوفمبر] استخدم برنامج الفدية Phobos اسم مجتمع أمن المعلومات لاستهداف أجهزة الكمبيوتر التي تعمل بنظام Windows وشن هجمات، مدعيًا أن الضحايا بحاجة إلى استعادة الملفات من المجتمع.

تحدث هجمات برامج الفدية بشكل متكرر. في أخبار اليوم، هناك ثلاث حوادث أمنية من هذا القبيل، من بينها الجزء الأكثر جدارة بالملاحظة هو أن المتسلل ادعى أنه منظمة أمنية معروفة، ومن الواضح أنهم يعتزمون إثارة الفرقة والانقسام المجتمع بأكمله وإضعاف قوة الدفاع الشاملة.

ومن الجدير بالذكر أن هؤلاء الهاكرز عند ارتكابهم الجرائم لم يقوموا بسرقة اسم المنظمة فحسب، بل قاموا بالسخرية منها أيضًا عبر رسائل الابتزاز، بل وطلبوا من الضحايا شراء كتب من تأليف المنظمة الأمنية.

[11 نوفمبر] تعرضت شركة CyberLink لهجوم على سلسلة التوريد من قبل قراصنة كوريين شماليين، حيث نشر المتسللون برامج ضارة على خوادم التحديث الخاصة بالشركة، وظهر الضحايا في تايوان والعديد من البلدان.

فيما يتعلق بهجمات سلسلة التوريد للمصنعين التايوانيين، فقد جذبت حادثة اختراق خادم تحديث Asus قبل أربع سنوات اهتمامًا كبيرًا، وأصبحت هجمات سلسلة التوريد تمثل تهديدًا لأمن المعلومات لا يمكن لمصنعي تكنولوجيا المعلومات التايوانيين تجاهلها، وفي الآونة الأخيرة، عانى موردو البرامج الآخرون بشكل مشابه لهجمات المتسللين استخدامه لتحديث البنية التحتية ونشر البرامج الضارة.

كشف فريق استخبارات التهديدات التابع لشركة Microsoft عن هجوم يستهدف مطور تطبيقات الوسائط المتعددة التايواني CyberLink منذ نهاية أكتوبر، حيث تلاعب المتسللون بملفات تثبيت برامج الشركة وقاموا بتحميلها على خادم التحديث الخاص بـ CyberLink، أما فيما يتعلق بغرض المهاجم، فلا يزال يتعين توضيحه بشكل أكبر.

【11 آب (أغسطس)ميرتصيب متغيرات الروبوتات AI أجهزة التوجيه وأجهزة المراقبة بالفيديو لشبكة NVR، ويُشتبه في أن ثغرة يوم الصفر التي يستغلها المهاجمون تتضمن كلمات مرور ضعيفة محددة مسبقًا.

الروبوتاتميرتم الإبلاغ عن هجمات الذكاء الاصطناعي التي تستهدف أجهزة إنترنت الأشياء (IoT) من وقت لآخر، لكن الحوادث الأمنية الأخيرة التي كشف عنها الباحثون ملفتة للنظر لأنها لم تكشف عن طراز الجهاز الذي استهدفه المتسللون، بل فقط نوع الشبكة جهاز مراقبة بالفيديو (NVR)، جهاز توجيه صغير.

ومن الجدير بالذكر أن جميع الأجهزة المذكورة أعلاه بها ثغرات يوم الصفر، وكشف الباحثون أن التعليمات البرمجية الضارة التي استخدمها المهاجمون تضمنت أسماء الحسابات الافتراضية وكلمات المرور الخاصة بهذه الأجهزة. وتظهر هذه العلامات أيضًا أن المهاجمين قد يستخدمون هذه القنوات للسيطرة.