أحدهما دخن الشيشة في المحاضرة.. فصل طالبين بالمعهد الفني الصناعي بالإسكندرية    اليوم، آخر موعد لاستقبال الطعون بالمرحلة الثانية من انتخابات مجلس النواب    محافظة الجيزة يتفقد أعمال إصلاح الكسر المفاجئ لخط المياه الرئيسي بشارع ربيع الجيزي    القانون يحدد عقوبة صيد المراكب الأجنبية في المياه الإقليمية.. تعرف عليها    بعد هجوم رفح، أول تعليق من ترامب بشأن تنفيذ المرحلة الثانية من اتفاق غزة    اللقاء المرتقب يجمع مبعوث ترامب وكوشنر بوسيط أوكرانيا    "المجلس الأيرلندي للحريات المدنية" يتهم "مايكروسوفت" بمساعدة إسرائيل في إخفاء أدلة تتبع الفلسطينيين    كأس إيطاليا – إنتر ونابولي وأتالانتا إلى ربع النهائي    خبر في الجول - انتهاء مهلة عبد الحميد معالي ل الزمالك في "فيفا" ويحق له فسخ التعاقد    وليد صلاح الدين: لم يصلنا عروض رسمية للاعبي الأهلي.. وهذا سبب اعتراضي على بسيوني    ظهور تماسيح في رشاح قرية الزوامل بالشرقية.. وتحرك عاجل من الجهات المختصة    تواصل عمليات البحث عن 3 صغار بعد العثور على جثامين الأب وشقيقتهم في ترعة الإبراهيمية بالمنيا    حلمي عبد الباقي يكشف تدهور حالة ناصر صقر الصحية    مشاجرة بين طالبات وزميلتهم تتحول إلى اعتداء بالضرب عليها ووالدتها    محمد رجاء: أراجع كتاباتي مع خبراء نفسيين.. والورد والشيكولاتة ليست نقاط ضعف النساء فقط    «يوميات ممثل مهزوم» يمثل مصر في المهرجان الثقافي الدولي لمسرح الصحراء بالجزائر    علاج ألم المعدة بالأعشاب والخلطات الطبيعية، راحة سريعة بطرق آمنة    بيراميدز يتلقى إخطارًا جديدًا بشأن موعد انضمام ماييلي لمنتخب الكونغو    فيديو اللحظات الأخيرة للسباح يوسف محمد يحقق تفاعلا واسعا على السوشيال ميديا    رويترز: طائرة قادمة من الولايات المتحدة تقل مهاجرين فنزويليين تصل إلى فنزويلا    هجوم روسي على كييف: أصوات انفجارات ورئيس الإدارة العسكرية يحذر السكان    النيابة الإدارية يعلن فتح باب التعيين بوظيفة معاون نيابة إدارية لخريجي دفعة 2024    وزير الأوقاف ناعيًا الحاجة سبيلة عجيزة: رمز للعطاء والوطنية الصادقة    الحكومة: تخصيص 2.8 مليار جنيه لتأمين احتياجات الدواء    الإسكان تحدد مواعيد تقنين الأراضى بمدينة العبور الجديدة الإثنين المقبل    هل يجوز لذوي الإعاقة الجمع بين أكثر من معاش؟ القانون يجيب    قناة الوثائقية تستعد لعرض سلسلة ملوك أفريقيا    احذر.. عدم الالتزام بتشغيل نسبة ال5% من قانون ذوي الإعاقة يعرضك للحبس والغرامة    استئناف المتهمة في واقعة دهس «طفل الجت سكي» بالساحل الشمالي.. اليوم    بالأسماء.. إصابة 8 أشخاص في حادث تصادم ب بني سويف    ضياء رشوان: موقف مصر لم يتغير مللي متر واحد منذ بداية حرب الإبادة    الطب البيطري: ماتشتريش لحمة غير من مصدر موثوق وتكون مختومة    أهلي بنغازي يتهم 3 مسؤولين في فوضى تأجيل نهائي كأس ليبيا باستاد القاهرة    محافظ سوهاج يشيد بما حققه الأشخاص ذوي الهمم في يومهم العالمي    أزمة مياه بالجيزة.. سيارات شرب لإنقاذ الأهالي    وزير الثقافة يُكرّم المخرج خالد جلال في احتفالية بالمسرح القومي.. صور    فلسطين.. قوات الاحتلال تطلق النار شرق جباليا شمال قطاع غزة    استشاري يحذر: الشيبسي والكولا يسببان الإدمان    تصادم موتوسيكلات ينهى حياة شاب ويصيب آخرين في أسوان    العناية الإلهية تنقذ أسرة من حريق سيارة ملاكى أمام نادى أسوان الرياضى    الشباب والرياضة: نتعامل مع واقعة وفاة السباح يوسف بمنتهى الحزم والشفافية    آثار القاهرة تنظم ندوة علمية حول النسيج في مصر القديمة واتجاهات دراسته وصيانته    ألمانيا والنقابات العمالية تبدأ مفاوضات شاقة حول أجور القطاع العام    مصر تستورد من الصين ب 14.7 مليار دولار في 10 أشهر من 2025    حلمي عبد الباقي: لا أحد يستطيع هدم النقابة وكل ما يتم نشره ضدي كذب    أسامة كمال عن حريق سوق الخواجات في المنصورة: مانبتعلمش من الماضي.. ولا يوجد إجراءات سلامة أو أمن صناعي    هيئة قضايا الدولة تُنظم محاضرات للتوعية بمناهضة العنف ضد المرأة    قرارات جديدة تعزز جودة الرعاية الصحية.. اعتماد 19 منشأة صحية وفق معايير GAHAR المعتمدة دوليًا    هل يجوز التصدق من أرباح البنوك؟| أمين الفتوى يجيب    لأول مرّة| حماية إرادة الناخبين بضمان رئاسى    هل يعتبر مريض غازات البطن من أصحاب الأعذار ؟| أمين الفتوى يجيب    في يومهم العالمي.. 5 رسائل من الأزهر لكل أسرة ترعى طفلا من ذوي الإعاقة    وكيل لجنة مراجعة المصحف ورئيس منطقة الغربية يتفقدان مسابقة الأزهر السنوية لحفظ القرآن الكريم    مواقيت الصلاه اليوم الأربعاء 3ديسمبر 2025 فى المنيا.. اعرف مواقيت صلاتك    انعقاد الاجتماع الرابع للجنة الفنية المصرية – التونسية للتعاون الاستثماري    الصحة تعلن ضوابط حمل الأدوية أثناء السفر| قواعد إلزامية لتجنب أي مشكلات قانونية    أطعمة تعالج الأنيميا للنساء، بسرعة وفي وقت قياسي    توافد الناخبين للتصويت في جولة الإعادة بانتخابات النواب بالإسكندرية| صور    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



أبحاث "إسيت" تكشف عن تزايد عدد هجمات مجموعات APT، مع وجود الآلاف من خوادم البريد الإلكتروني مهددة
عبد العزيز خلف نشر في الفجر يوم 22 - 03 - 2021

اكتشفت أبحاث شركة "إسيت" ESET أن أكثر من عشر مجموعات مختلفة من التهديدات المستمرة المتقدمة (APT) تستغل نقاط الضعف الأخيرة في "مايكروسوفت إكستشينج سيرفر" لخرق خوادم البريد الإلكتروني. حددت "إسيت" أكثر من 5000 خادم بريد إلكتروني تأثرت بالنشاط الضار المتعلق بالحادث. تنتمي الخوادم إلى مؤسسات - شركات وحكومات على حد سواء - من جميع أنحاء العالم، بما في ذلك الشركات البارزة. وبالتالي، فإن التهديد لا يقتصر على مجموعة Hafnium التي تم الإبلاغ عنها على نطاق واسع سابقا.
في أوائل شهر مارس، أصدرت "مايكروسوفت" تصحيحات لإكستشينج سيرفر 2013 و2016 و2019 لإصلاح سلسلة من الثغرات الأمنية لتنفيذ التعليمات البرمجية للمصادقة المسبقة عن بُعد (RCE). تسمح الثغرات الأمنية للمهاجم بالاستيلاء على أي خادم "إكستشينج" يمكن الوصول إليه، دون الحاجة إلى معرفة أي بيانات اعتماد صالحة للحساب، مما يجعل خوادم "إكستشينج" المتصلة بالإنترنت معرضة للخطر بشكل خاص.
لاحظ باحثو "إسيت" أن بعض مجموعات APT كانت تستغل الثغرات الأمنية حتى قبل إطلاق التصحيحات. وقال "ماتيو فو"، الذي يقود أبحاث "إسيت" المتعلقة بسلسلة الثغرات الأمنية الأخيرة في "إكستشينج":"في اليوم التالي لإصدار التصحيحات، بدأنا في ملاحظة العديد من الجهات الفاعلة التي تهدد التهديدات التي تقوم بفحص خوادم "إكستشينج" وتعريضها للخطر. ومن المثير للاهتمام، أن كل هذه المجموعات عبارة عن مجموعات APT تركز على التجسس، باستثناء حالة خارجية واحدة يبدو أنها مرتبطة بحملة معروفة لتعدين العملات. ولا مفر من أن المزيد والمزيد من الجهات الفاعلة في مجال التهديد، بما في ذلك مشغلي برامج الفدية، سيتمكنون من الوصول إلى الثغرات عاجلاً أم آجلاً ".
وأضاف "فاو": "هذا يعني استبعاد احتمال أن تكون هذه المجموعات قد أنشأت ثغرة من خلال الهندسة العكسية لتحديثات مايكروسوفت".
حددت "إسيت" أكثر من عشرة جهات تهديدات مختلفة من المحتمل أنها استفادت من ثغرات "مايكروسوفت إكستشينج RCE" الأخيرة من أجل تثبيت برامج ضارة مثل webshells وbackdoorsعلى خوادم البريد الإلكتروني للضحايا. في بعض الحالات، كان العديد من الجهات الضارة تستهدف نفس المنظمة.
مجموعات التهديد التي تم تحديدها هي:
Tick - اخترق خادم الويب لشركة مقرها في شرق آسيا تقدم خدمات تكنولوجيا المعلومات. كما في حالة LuckyMouse وCalypso، من المحتمل أن المجموعة تمكنت من الوصول إلى أحد الثغرات قبل إصدار التصحيحات.
LuckyMouse - تعرض للخطر خادم البريد الإلكتروني لكيان حكومي في الشرق الأوسط. من المحتمل أن تكون مجموعة APT هذه قد استغلت قبل يوم واحد على الأقل من إطلاق التصحيحات.
Calypso - اخترقت خوادم البريد الإلكتروني للهيئات الحكومية في الشرق الأوسط وأمريكا الجنوبية. من المحتمل أن المجموعة تمكنت من الوصول إلى الثغرة zero day.. في الأيام التالية، استهدف مشغلو Calypso خوادم إضافية لكيانات حكومية وشركات خاصة في إفريقيا وآسيا وأوروبا.
Websiic - استهدفت سبعة خوادم بريد إلكتروني تابعة لشركات خاصة (في مجالات تكنولوجيا المعلومات والاتصالات والهندسة) في آسيا وهيئة حكومية في أوروبا الشرقية. قامت "إسيت" بتسمية مجموعة الأنشطة الجديدة هذه باسم Websiic.
Winnti Group - اخترقت خوادم البريد الإلكتروني لشركة نفط وشركة معدات البناء في آسيا. من المحتمل أن تكون المجموعة قد تمكنت من الوصول قبل إصدار التصحيحات.
Tonto Team - تعرض للخطر خوادم البريد الإلكتروني لشركة مشتريات وشركة استشارية متخصصة في تطوير البرمجيات والأمن السيبراني، وكلاهما يقع في أوروبا الشرقية.
ShadowPad activity - خرق خوادم البريد الإلكتروني لشركة تطوير برمجيات مقرها في آسيا وشركة عقارات مقرها في الشرق الأوسط. اكتشف "إسيت" متغيرًا للباب الخلفي ShadowPad أسقطته مجموعة غير معروفة.
"Opera" Cobalt Strike - استهدفت حوالي 650 خادمًا، معظمها في الولايات المتحدة وألمانيا والمملكة المتحدة ودول أوروبية أخرى بعد ساعات قليلة من إطلاق التصحيحات.
IIS backdoors - لاحظت "إسيت" وجود أبواب خلفية ل IIS مثبتة عبر شبكات الويب المستخدمة في هذه التسويات على أربعة خوادم بريد إلكتروني موجودة في آسيا وأمريكا الجنوبية. يُعرف أحد الأبواب الخلفية باسم Owlproxy.
Mikroceen - تعرض للخطر خادم التبادل لشركة مرافق في آسيا الوسطى، وهي المنطقة التي تستهدفها هذه المجموعة عادةً.
DLTMiner - اكتشف "إسيت" نشر أدوات تنزيل PowerShell على خوادم بريد إلكتروني متعددة كانت مستهدفة مسبقًا باستخدام ثغرات أمنية في "إكستشينج". ترتبط البنية التحتية للشبكة المستخدمة في هذا الهجوم بحملة تم الإبلاغ عنها سابقًا لتعدين العملات.
اختتم "فاو" تصريحاته: "لقد حان الوقت الآن بعد وقت الذروة لإصلاح جميع خوادم "إكستشينج" في أسرع وقت ممكن. حتى أولئك الذين لم يتعرضوا بشكل مباشر للإنترنت يجب تصحيحهم. في حالة الاختراق، يجب على المسؤولين إزالة webshells وتغيير بيانات الاعتماد والتحقيق في أي نشاط ضار إضافي. هذا الحادث هو تذكير جيد للغاية بأن التطبيقات المعقدة مثل "مايكروسوفت إكستشينج" أو "شيربوينت" يجب ألا تكون مفتوحة على الإنترنت".

انقر هنا لقراءة الخبر من مصدره.