وزير السياحة يطالب بالتوسع في استخدام الطاقة النظيفة لتحويل المدن السياحيه لخضراء    لتوفير السلع ودعم الاقتصاد المحلي.. إنشاء منافذ ومعارض دائمة للأسر المنتجة بأسيوط    جيش الاحتلال الإسرائيلي يقتحم مناطق بالضفة ويعتقل 22 فلسطينيا.. وينكّل بعامل مخبز    آينتراخت ضد البايرن.. دياز وكين يقودان البافاري لانتصار جديد    أرتيتا يكشف سر فوز أرسنال على وست هام    نجم دورتموند يدخل حسابات برشلونة    الداخلية تكشف حقيقة محاولة اختطاف طفلة بالقليوبية    تغيرات مفاجئة ونشاط للرياح.. تفاصيل حالة الطقس حتى يوم الجمعة المقبل    تامر حسني يغني أغنية حكاية مسرح في حفل افتتاح مهرجان نقابة المهن التمثيلية للمسرح    «الخشت»: جذور التجديد في الإسلام منذ عهد الخلفاء الراشدين    حركة فتح لبرنامج كلمة أخيرة: خطة ترامب مهمة لإيقاف الحرب وإعادة الإعمار    التعليم العالي: تنظيم ورشة العمل الوطنية للتدريب على بيانات ومؤشرات التعليم بالتعاون مع اليونسكو    «الصحة» تطلق النسخة الخامسة من مؤتمر «قلب زايد» بمشاركة نخبة من خبراء أمراض القلب في مصر    بمشاركة مصطفى محمد.. نانت يتعادل سلبيا مع بريست    7 ساعات نقاش.. اللجنة الخاصة "للإجراءات الجنائية"توافق على تعديل المواد محل اعتراض الرئيس.. وتعد تقريرًا لعرضه على مجلس النواب    غدًا .. عرض 4 أفلام نادرة مرمَّمة توثّق لنصر أكتوبر المجيد    "أحكام التعدي اللفظي والبدني..التحرش نموذجًا" ضمن مبادرة "صحح مفاهيمك" بأوقاف الفيوم    روسيا: إعادة فرض عقوبات مجلس الأمن على إيران "خطأ فادح"    شريف العماري: الزواج السري يجعل الزوجة تعيش في حالة خوف واختباء من أبنائها ومعارفها    السكة الحديد ترفع قيمة غرامات الركوب بدون تذكرة على القطارات فى هذه الحالات    نائب وزير الصحة يوفر سيارة إسعاف لنقل مريض للمستشفى ويتوعد المتغيبين عن العمل    هيئة الدواء لإكسترا نيوز: صدّرنا أدوية بأكثر من مليار دولار خلال 2024    افتتاح فرع جديد للخط الساخن لمكافحة الإدمان لأول مرة بالسويس لعلاج المرضى مجانا    وكيل صحة شمال سيناء يتفقد القومسيون الطبي العام استعدادا لانتخابات مجلس الشعب    اللواء خالد مجاور محافظ شمال سيناء: «أرض الفيروز 2030» مركز لوجيستى وتجارى عالمى    مركز الزرقا يروي المسطحات الخضراء ويُنعش وجه المدينة الحضاري    المدير الرياضى للأهلى ل «الأخبار»: احتراف الشحات مرفوض وعبدالقادر يرحب بالتجديد    الشوط الأول| بايرن ميونخ يضرب فرانكفورت في الدوري الألماني    "المواجهة والتجوال" يحتفي بانتصارات أكتوبر من سيناء    بطلة مصر للسباحة بالزعانف: أحلم بحصد أكبر عدد من الميداليات ببطولة العالم    نزال: خطة ترامب تؤجل الاعتراف بدولة فلسطين رغم دعم دول كبرى لها    أمل الحناوي: ترحيب عربي ودولي واسع بموافقة حماس على خطة ترامب    مات والدها فحاولت الانتحار حزنا عليه بالشرقية    «النهر الجديد».. شريان أمل تشقه مصر في زمن المشهد المائي المربك    حزب السادات يدعو لإحياء ذكرى نصر أكتوبر أمام ضريح بطل الحرب والسلام بالمنصة    ضبط عدد من قضايا الاتجار غير المشروع بالنقد الأجنبي خلال 24 ساعة    أقوى عرض لشحن شدات ببجي موبايل 2025.. 22،800 UC مجانًا    "بداية أسطورية ل Kuruluş Osman 7" موعد عرض الحلقة 195 من مسلسل المؤسس عثمان على قناة الفجر الجزائرية    أسعار البنزين والسولار السبت 4 أكتوبر 2025    مواقيت الصلاه اليوم السبت 4 أكتوبر 2025 في المنيا    طوفان بشري.. مئات الآلاف يتظاهرون في برشلونة ضد الإبادة الجماعية في غزة والاحتلال الإسرائيلي    استقبل تردد قناة صدى البلد دراما 2025 الجديد على نايل سات    انتهاء الشوط الأول بالتعادل السلبي بين طلائع الجيش والجونة    أضرار الزيت المعاد استخدامه أكثر من مرة.. سموم خفية    أبرز إنجازات خالد العنانى المرشح لمنصب مدير اليونسكو    السيسي يتابع توفير التغذية الكهربائية للمشروعات الزراعية الجديدة.. فيديو    " سي إن بي سي": توقعات باستمرار الإغلاق الحكومي الأمريكي حتى 14 أكتوبر وسط تعثر المفاوضات    قوافل طبية وغذائية لدعم الأسر المتضررة من ارتفاع منسوب مياه النيل بدلهمو بالمنوفية    وزير الزراعة يعلن تحقيق الصادرات الزراعية المصرية 7.5 مليون طن حتى الآن    طرح النهر يغرق ومصر تُجيد إدارة الفيضان.. خطة استباقية تُثبت كفاءة الدولة في موازنة الأمن المائي وسلامة المواطنين    الرعاية الصحية ببورسعيد بعد إجراء جراحة دقيقة: التكنولوجيا الصحية لم تعد حكرا على أحد    ننشر أسماء المرشحين للفردى والقائمة للتحالف الوطني ببنى سويف للانتخابات البرلمانية 2025 (خاص)    هالة عادل: عمل الخير وصنع المعروف أخلاق نبيلة تبني المحبة بين البشر    بينهم طفلان.. 6 شهداء في قصف الاحتلال غزة وخان يونس    مصرع سيدتين وإصابة 7 في حادث تصادم مروّع بالفيوم    تعرف على مواقيت الصلاة اليوم السبت 4-10-2025 في محافظة قنا    موعد انخفاض أسعار الطماطم في الأسواق.. الكيلو وصل 35 جنيه    دار الإفتاء توضح: حكم الصلاة بالحركات فقط دون قراءة سور أو أدعية    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



أبحاث "إسيت" تكشف عن تزايد عدد هجمات مجموعات APT، مع وجود الآلاف من خوادم البريد الإلكتروني مهددة
عبد العزيز خلف نشر في الفجر يوم 22 - 03 - 2021

اكتشفت أبحاث شركة "إسيت" ESET أن أكثر من عشر مجموعات مختلفة من التهديدات المستمرة المتقدمة (APT) تستغل نقاط الضعف الأخيرة في "مايكروسوفت إكستشينج سيرفر" لخرق خوادم البريد الإلكتروني. حددت "إسيت" أكثر من 5000 خادم بريد إلكتروني تأثرت بالنشاط الضار المتعلق بالحادث. تنتمي الخوادم إلى مؤسسات - شركات وحكومات على حد سواء - من جميع أنحاء العالم، بما في ذلك الشركات البارزة. وبالتالي، فإن التهديد لا يقتصر على مجموعة Hafnium التي تم الإبلاغ عنها على نطاق واسع سابقا.
في أوائل شهر مارس، أصدرت "مايكروسوفت" تصحيحات لإكستشينج سيرفر 2013 و2016 و2019 لإصلاح سلسلة من الثغرات الأمنية لتنفيذ التعليمات البرمجية للمصادقة المسبقة عن بُعد (RCE). تسمح الثغرات الأمنية للمهاجم بالاستيلاء على أي خادم "إكستشينج" يمكن الوصول إليه، دون الحاجة إلى معرفة أي بيانات اعتماد صالحة للحساب، مما يجعل خوادم "إكستشينج" المتصلة بالإنترنت معرضة للخطر بشكل خاص.
لاحظ باحثو "إسيت" أن بعض مجموعات APT كانت تستغل الثغرات الأمنية حتى قبل إطلاق التصحيحات. وقال "ماتيو فو"، الذي يقود أبحاث "إسيت" المتعلقة بسلسلة الثغرات الأمنية الأخيرة في "إكستشينج":"في اليوم التالي لإصدار التصحيحات، بدأنا في ملاحظة العديد من الجهات الفاعلة التي تهدد التهديدات التي تقوم بفحص خوادم "إكستشينج" وتعريضها للخطر. ومن المثير للاهتمام، أن كل هذه المجموعات عبارة عن مجموعات APT تركز على التجسس، باستثناء حالة خارجية واحدة يبدو أنها مرتبطة بحملة معروفة لتعدين العملات. ولا مفر من أن المزيد والمزيد من الجهات الفاعلة في مجال التهديد، بما في ذلك مشغلي برامج الفدية، سيتمكنون من الوصول إلى الثغرات عاجلاً أم آجلاً ".
وأضاف "فاو": "هذا يعني استبعاد احتمال أن تكون هذه المجموعات قد أنشأت ثغرة من خلال الهندسة العكسية لتحديثات مايكروسوفت".
حددت "إسيت" أكثر من عشرة جهات تهديدات مختلفة من المحتمل أنها استفادت من ثغرات "مايكروسوفت إكستشينج RCE" الأخيرة من أجل تثبيت برامج ضارة مثل webshells وbackdoorsعلى خوادم البريد الإلكتروني للضحايا. في بعض الحالات، كان العديد من الجهات الضارة تستهدف نفس المنظمة.
مجموعات التهديد التي تم تحديدها هي:
Tick - اخترق خادم الويب لشركة مقرها في شرق آسيا تقدم خدمات تكنولوجيا المعلومات. كما في حالة LuckyMouse وCalypso، من المحتمل أن المجموعة تمكنت من الوصول إلى أحد الثغرات قبل إصدار التصحيحات.
LuckyMouse - تعرض للخطر خادم البريد الإلكتروني لكيان حكومي في الشرق الأوسط. من المحتمل أن تكون مجموعة APT هذه قد استغلت قبل يوم واحد على الأقل من إطلاق التصحيحات.
Calypso - اخترقت خوادم البريد الإلكتروني للهيئات الحكومية في الشرق الأوسط وأمريكا الجنوبية. من المحتمل أن المجموعة تمكنت من الوصول إلى الثغرة zero day.. في الأيام التالية، استهدف مشغلو Calypso خوادم إضافية لكيانات حكومية وشركات خاصة في إفريقيا وآسيا وأوروبا.
Websiic - استهدفت سبعة خوادم بريد إلكتروني تابعة لشركات خاصة (في مجالات تكنولوجيا المعلومات والاتصالات والهندسة) في آسيا وهيئة حكومية في أوروبا الشرقية. قامت "إسيت" بتسمية مجموعة الأنشطة الجديدة هذه باسم Websiic.
Winnti Group - اخترقت خوادم البريد الإلكتروني لشركة نفط وشركة معدات البناء في آسيا. من المحتمل أن تكون المجموعة قد تمكنت من الوصول قبل إصدار التصحيحات.
Tonto Team - تعرض للخطر خوادم البريد الإلكتروني لشركة مشتريات وشركة استشارية متخصصة في تطوير البرمجيات والأمن السيبراني، وكلاهما يقع في أوروبا الشرقية.
ShadowPad activity - خرق خوادم البريد الإلكتروني لشركة تطوير برمجيات مقرها في آسيا وشركة عقارات مقرها في الشرق الأوسط. اكتشف "إسيت" متغيرًا للباب الخلفي ShadowPad أسقطته مجموعة غير معروفة.
"Opera" Cobalt Strike - استهدفت حوالي 650 خادمًا، معظمها في الولايات المتحدة وألمانيا والمملكة المتحدة ودول أوروبية أخرى بعد ساعات قليلة من إطلاق التصحيحات.
IIS backdoors - لاحظت "إسيت" وجود أبواب خلفية ل IIS مثبتة عبر شبكات الويب المستخدمة في هذه التسويات على أربعة خوادم بريد إلكتروني موجودة في آسيا وأمريكا الجنوبية. يُعرف أحد الأبواب الخلفية باسم Owlproxy.
Mikroceen - تعرض للخطر خادم التبادل لشركة مرافق في آسيا الوسطى، وهي المنطقة التي تستهدفها هذه المجموعة عادةً.
DLTMiner - اكتشف "إسيت" نشر أدوات تنزيل PowerShell على خوادم بريد إلكتروني متعددة كانت مستهدفة مسبقًا باستخدام ثغرات أمنية في "إكستشينج". ترتبط البنية التحتية للشبكة المستخدمة في هذا الهجوم بحملة تم الإبلاغ عنها سابقًا لتعدين العملات.
اختتم "فاو" تصريحاته: "لقد حان الوقت الآن بعد وقت الذروة لإصلاح جميع خوادم "إكستشينج" في أسرع وقت ممكن. حتى أولئك الذين لم يتعرضوا بشكل مباشر للإنترنت يجب تصحيحهم. في حالة الاختراق، يجب على المسؤولين إزالة webshells وتغيير بيانات الاعتماد والتحقيق في أي نشاط ضار إضافي. هذا الحادث هو تذكير جيد للغاية بأن التطبيقات المعقدة مثل "مايكروسوفت إكستشينج" أو "شيربوينت" يجب ألا تكون مفتوحة على الإنترنت".

انقر هنا لقراءة الخبر من مصدره.