Forefront رؤى متعمقة: اختراقات الدول القومية وناقلات الهجمات الناشئة

مرحبًا بكم في إصدار آخر من Forefront Insights. بعد ردود الفعل من قرائنا، قررنا أن نبدأ نشر هذه المقالات كل يوم اثنين، بدلاً من يوم الجمعة، نظرًا لوجود تطورات مهمة في الأحداث خلال عطلة نهاية الأسبوع! اليوم هو الثاني والعشرون من أبريل، وهذه بعض من آخر المستجدات في عالم الأمن السيبراني!

اختراق الدولة القومية لمؤسسة MITRE Corporation

هذا الأسبوع، تم تنبيه مجتمع الأمن السيبراني إلى اختراق معقد في شركة MITRE Corporation، نفذته جهة فاعلة تابعة لدولة قومية. تُعد شركة MITRE جزءًا لا يتجزأ من الأمن القومي الأمريكي، حيث تدير العديد من مراكز البحث والتطوير الممولة فيدراليًا. انطوى الاختراق على استغلال ثغرتين خطيرتين: الثغرة CVE-2023-46805، بدرجة CVE-2023-46805، بدرجة CVSS 8.2، والثغرة CVE-2024-21887، بدرجة CVSS 9.1. سمحت هذه الثغرات للمهاجمين بتجاوز آليات المصادقة وتنفيذ أوامر عشوائية على الأنظمة المخترقة.

بدأ المهاجمون حملتهم باستخدام رسائل بريد إلكتروني للتصيد الاحتيالي، مما أدى إلى تثبيت حمولات مستتر للوصول الأولي. وفي وقت لاحق، استغل المهاجمون الثغرات المذكورة أعلاه للوصول بشكل أعمق والتحكم في أنظمة MITRE. بعد الاختراق الأولي، انتقل المهاجمون بشكل جانبي داخل الشبكة، واستهدفوا البنية التحتية لبرنامج VMware واخترقوها باستخدام حساب مسؤول مخترق. وقد مكّنت هذه الحركة الجانبية من نشر أبواب خلفية إضافية وقذائف ويب، مما سهّل الاستمرار داخل الشبكة وحصد بيانات الاعتماد.

ومع ذلك، من المهم ملاحظة أن شركة MITRE أشارت إلى أن شبكتها المؤسسية الأساسية، المعروفة باسم NERVE - وهي شبكة تعاونية غير سرية توفر موارد التخزين والحوسبة والشبكات - لم تتأثر بهذا الاختراق. وهذا يشير إلى أنه على الرغم من أن المهاجمين تمكنوا من اختراق جوانب معينة من أنظمة MITRE، إلا أن البنية التحتية التشغيلية الأساسية لا تزال آمنة، ولا يوجد دليل على تأثر أنظمة الشركاء.

بالنسبة لعملائنا، يؤكد هذا الأمر على أهمية تأمين محيط المؤسسة ضد التهديدات المتطورة المماثلة. إن تعزيز أمن نقاط النهاية وتعزيز عمليات مصادقة المستخدم وزيادة مراقبة الشبكة هي خطوات أساسية لحماية البيانات الحساسة من مثل هذه الاختراقات عالية المستوى.

اقرأ المزيد عن هذا الحادث: اختراق شركة MITRE من قبل قراصنة تابعين لدولة قومية يستغلون ثغرات في شركة Ivanti (thehackernews.com)

هجمات الهوية غير المتصلة بالشبكة

مع تصاعد الهجمات القائمة على الهوية، نشهد تحولاً كبيراً في مشهد الأمن السيبراني. يشير أحدث تقرير للتهديدات العالمية الصادر عن CrowdStrike إلى أن 75% من الهجمات المتعلقة بالوصول إلى الإنترنت كانت خالية من البرمجيات الخبيثة، حيث اعتمدت بدلاً من ذلك على تقنيات أكثر سرية مثل سرقة بيانات الاعتماد والتلاعب بعمليات المصادقة القياسية. ويعكس ذلك اتجاهاً متزايداً نحو الهجمات "الواعية بالسحابة"، والتي شهدت زيادة كبيرة بنسبة 110%. هذه الهجمات هي محاولات متعمدة لاستهداف الخدمات السحابية، وتهدف إلى اختراق وظائف محددة بدلاً من استغلال الثغرات الأمنية بشكل انتهازي.

علاوة على ذلك، أبلغت شركة Microsoft عن حوالي 4000 هجمة بكلمة مرور في الثانية تستهدف الهويات السحابية. أشارت Google أيضًا إلى أن الهجمات المصممة لسرقة ملفات تعريف الارتباط الخاصة بالجلسات - لتجاوز المصادقة متعددة العوامل (MFA) - تحدث بوتيرة مقلقة، تقريبًا على قدم المساواة مع الهجمات القائمة على كلمات المرور.

تُظهر الهجمات رفيعة المستوى التي تشنها مجموعات مثل APT29 (المعروفة أيضًا باسم Cozy Bear أو The Dukes) و Scattered Spider (المعروفة أيضًا باسم 0ktapus)، والتي تستهدف خدمات مزود الهوية (IdP) وتطبيقات البرمجيات كخدمة (SaaS) وآليات تسجيل الدخول الأحادي/المصادقة الأحادية، التركيز الاستراتيجي للجهات الفاعلة الحديثة في مجال التهديدات. تسلط هذه الاختراقات ضد المنصات الرئيسية مثل Microsoft وOkta الضوء على الحاجة الماسة إلى استراتيجيات قوية لحماية الهوية.

واستجابةً لهذه التطورات، من الضروري أن تقوم المؤسسات بتعزيز تدابير حماية الهوية. يمكن أن يشمل ذلك تعزيز عمليات مصادقة المستخدم، وتنفيذ أطر عمل انعدام الثقة، وزيادة الوعي والتدريب للموظفين للتعرف على المخاطر المرتبطة بالهجمات القائمة على الهوية والتخفيف من حدتها. نحن نعمل بشكل وثيق مع شركائنا لتأمين تطبيقات SaaS والبنية التحتية الأوسع نطاقاً الخاصة بهم باستخدام حلول Zero Trust المتقدمة من Cloudflare و Duo.

اقرأ المزيد عن ناقل الهجوم هذا: كيف يمكن للمهاجمين امتلاك شركة دون لمس Endpoint (thehackernews.com)

إساءة استخدام تعليقات GitHub لنشر البرمجيات الخبيثة

تم الإبلاغ عن طريقة جديدة لتوزيع البرمجيات الخبيثة تتضمن إساءة استخدام تعليقات GitHub. حيث يقوم المهاجمون بتضمين عناوين URL خبيثة داخل التعليقات على المستودعات الشهيرة، والتي يتم إعادة توجيهها بعد ذلك إلى مواقع مليئة بالبرمجيات الخبيثة عند النقر عليها من قبل المستخدمين المطمئنين. يسلط هذا الأسلوب الضوء على ناقل جديد للهجوم - استغلال الثقة وفائدة منصات مثل GitHub لنشر البرمجيات الضارة.

يجب على المؤسسات تثقيف مطوّريها حول مخاطر التفاعل مع الروابط غير المعروفة والتأكد من وجود تدابير أمنية مناسبة، بما في ذلك استخدام حلول تصفية الويب ومكافحة البرامج الضارة لمنع مثل هذه التهديدات من اختراق الأنظمة.

اقرأ المزيد عن هذه الثغرة: إساءة استخدام تعليقات GitHub لدفع البرمجيات الخبيثة عبر عناوين URL الخاصة بريبو مايكروسوفت (bleepingcomputer.com)

في الختام

مع استمرار تطور مشهد التهديدات الرقمية، فإن البقاء على اطلاع على أحدث منهجيات الهجوم وتعزيز استراتيجياتنا الدفاعية أمر بالغ الأهمية. في Forefront ، نحن ملتزمون بتزويدك بالرؤى والأدوات اللازمة لحماية بنيتك التحتية وبياناتك الحساسة من التهديدات الإلكترونية المتطورة بشكل متزايد.

حتى الأسبوع المقبل,

إلياس إسماعيل
الرئيس التنفيذي Forefront