فلسطين تطلب عقد جلسة طارئة لمجلس الأمن لبحث تداعيات مجزرة مخيم النصيرات    اجتماع وزاري خليجي بالدوحة غداً    موقف حارس يوفنتوس من الانتقال ل"روشن"    يزيد الراجحي يُتوَّج برالي الأرجنتين    القبض على باكستانيين في جدة لترويجهما (4.1) كيلوجرام من مادة (الشبو) المخدر    قرارات بحق 21 شخصا نقلوا 61 مخالفا ليس لديهم تصريح بالحج    السديس والمهنا يأمان صلاة عيد الأضحى بالحرمين    من أعلام جازان… الشاعر والأديب والمؤرخ الشيخ/أحمد بن علي حمود حبيبي مطهري الحازمي    90٪؜ نسبة استيفاء "الاشتراطات الصحية" للحج    الجهات الحكومية والفرق التطوعية تواصل تقديم خدماتها لضيوف الرحمن عبر منفذ حالة عمار    إطلاق خدمة أجير الحج والتأشيرات الموسمية لموسم 1445    الالتزام البيئي يفتش 91% من المنشآت المحيطة بمواقع الحجاج    البسامي: ضبط أكثر من 140 حملة حج وهمية    الأحوال: تعديل مواد تتعلق بتغيير الاسم الأول وتعديل أو حذف اسم الشهرة    فاطمة الشمسان ل"الرياض" الحاج يحتاج نحو 100 جرام من البروتين يومياً    "السياحة": 227 ألف غرفة مرخصة بمكة    "البحر الأحمر": جولة ثالثة لدعم مشاريع الأفلام    الفنانة المصرية شيرين رضا تعلن اعتزال الفن    السقوط أمام أيسلندا جرس إنذار لمنتخب إنجلترا قبل يورو 2024    "الداخلية" ترحل 11.9 ألف مخالف بأسبوع    طقس شديد الحرارة على 5 مناطق    سُوء التنفس ليلاً يسبب صداع الصباح    القلعة الأثرية بمحافظة جزر فرسان .. وجهة سياحية ومعلم يمزج التراث بجمال الطبيعة الساحرة    النائب العام يتفقّد ويدشّن مقرات للنيابة العامة في المشاعر المقدسة    عمرو دياب يصفع.. يشتم.. ويثير الجدل        جنة ينافس العيسى على رئاسة الأهلي    قرار الأمم المتحدة بوضع إسرائيل على القائمة السوداء خطوة في الاتجاه الصحيح    غزة تستغيث لتوفير مولدات كهربائية للمستشفيات    نائب أمير مكة يتفقد العمل بصالات الحج    مقتل صاحب أول صورة ملونة لكوكب الأرض من الفضاء    "آبل" تخرج بعض إصلاحات "آيفون" من الضمان    الهلال يعلن برنامج تحضيراته للموسم الجديد    "أبل" تدعم تطبيق البريد ب "الذكاء"    سوء التغذية يسبب اكتئاب ما بعد الولادة    بيئة نجران تدشن اليوم العالمي للبيئة تحت شعار "أرضنا مستقبلنا"    الأسهم الأمريكية تغلق على تراجع    تأهّل الحزم والنور والابتسام والصفا إلى نصف نهائي بطولة المملكة لكرة اليد الشاطئية للكبار        الجبير يرأس وفد المملكة المشارك في الحدث رفيع المستوى بشأن العمل من أجل المحيطات    100 ألف زائر في كرنفال القادسية الأسطوري    بعثة المنتخب السعودي تزور صالة مبادرة "طريق مكة" بباكستان    المملكة عضواً في المجلس الاقتصادي والاجتماعي (ECOSOC) للفترة 2025-2027م    الدفاع المدني ينفذ فرضية حريق بالعاصمة المقدسة    «هيئة النقل» تنفذ أكثر من 98 ألف عملية فحص حتى بداية شهر ذي الحجة    فرع هيئة الصحفيين بمكة ينظم ورشة الإعلام في الحج    منصور ابو شهران في ذمة الله    ضيوف المليك: استضافتنا للحج امتداداً لأعمال المملكة الإنسانية    نائب رئيس جمهورية جامبيا يغادر المدينة المنورة    جامعة الملك خالد تتقدم 160 مركزًا في تصنيف QS العالمي للجامعات 2025م وتحقق المركز 601    فيصل بن مشعل يقدر لامين وأمانة القصيم جهودها في مدينة حجاج البر    «الأحوال»: منح الجنسية السعودية لشخصين.. وقرار وزاري بفقدانها لامرأة    400 مشروع فني وتصميمي لطالبات كلية التصاميم بجامعة الإمام    فقدت والدها يوم التخرج.. وجامعة حائل تكفكف دموعها !    لاعبون بكلية مزروعة    وقوف امير تبوك على الخدمات المقدمة في مدينة الحجاج بمنفذ حالة عمار    وزير الداخلية يخرّج "1410" طلاب من "فهد الأمنية"    خالد بن سلمان يجري اتصالاً هاتفياً بالرئيس المنتخب وزير الدفاع الإندونيسي    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



كاسبرسكي تكتشف منفذًا خلفيًا يستهدف جهات حكومية ومنظمات غير ربحية في الشرق الأوسط وتركيا وإفريقيا
البلاد نشر في البلاد يوم 04 - 07 - 2022

اكتشف خبراء كاسبرسكي منفذًا خلفيًا تخريبيًا كان أنشئ ليصبح برمجية خبيثة تستغلّ خادم الويب الشهير Internet Information Services (IIS)، الذي يخضع لتعديلات مايكروسوفت. ويتيح المنفذ الخلفي الذي دعاه الخبراء SessionManager، مجموعة واسعة من الأنشطة التخريبية بمجرد توظيفه، تبدأ من جمع رسائل البريد الإلكتروني وتصل إلى التحكّم الكامل في البنية التحتية للضحية المستهدفة. واستُخدم هذا المنفذ الخلفي أول مرة في أواخر مارس 2021، حين ضرب جهات حكومية ومنظمات غير ربحية في أنحاء مختلفة من العالم، وأوقع ضحايا في ثماني دول بمنطقة الشرق الأوسط وتركيا وإفريقيا، بينها الكويت والمملكة العربية السعودية ونيجيريا وكينيا وتركيا.
وكانت كاسبرسكي كشفت في ديسمبر 2021 عن Owowa، البرمجية الخبيثة غير المعروفة وقتها، والتي تستغلّ خادم الويب IIS، وتسرق بيانات اعتماد دخول المستخدمين إلى خدمة Outlook عبر الويب. وظلّ خبراء الشركة، منذ ذلك الحين، يراقبون نشاط مجرمي الإنترنت في استغلال هذه الفرصة الجديدة، فقد اتضح أن توظيف منفذ خلفي في IIS أضحى توجّهًا لدى مجرمي الإنترنت الذين استغلوا سابقًا إحدى الثغرات من نوع ProxyLogon ضمن خوادم Microsoft Exchange.
ويُمكّن المنفذ الخلفي SessionManager الجهات التخريبية من إدامة نشاطهم وتعزيز قدرتهم على مقاومة التحديثات والتخفّي إلى البنية التحتية التقنية المؤسسية المستهدفة. ويصبح بوسع مجرمي الإنترنت الذين يقفون وراء المنفذ الخلفي، الوصول إلى رسائل البريد الإلكتروني وتمكين المزيد من الوصول التخريبي عن طريق تثبيت أنواع أخرى من البرمجيات الخبيثة أو إدارة الخوادم المخترقة سرًا، والتي يمكن الاستفادة منها بوصفها بنية تحتية خبيثة، وذلك بمجرد الدخول إلى نظام الضحية.
ويتسم SessionManager بضَعف إمكانية الكشف عنه، فقد وجد باحثو كاسبرسكي في أوائل 2022 أن بعض عينات هذا المنفذ الخلفي لم تُصنّف "خبيثة" في عدد من خدمات فحص الملفات الشائعة عبر الإنترنت، حتى الآن، لا يزال SessionManager منتشرًا في أكثر من 90٪ من المؤسسات المستهدفة وفقًا لفحص الإنترنت الذي أجراه باحثو كاسبرسكي.
واخترق SessionManager 34 خادمًا تابعًا ل 24 مؤسسة ومنظمة في أوروبا والشرق الأوسط وجنوب آسيا وإفريقيا، حيث أظهرت الجهة التي يديره اهتمامًا خاصًا بالمنظمات غير ربحية والهيئات الحكومية، ولكنها استهدفت كذلك منظمات طبية وشركات عاملة في قطاعات النفط والنقل وغيرها.
ويرى خبراء كاسبرسكي أن وحدة IIS الخبيثة ربما كان استُعين بها من قِبل عصابة GELSEMIUM، ضمن عمليات تجسس، نظرًا لظاهرة "تشابه الضحايا" واستخدام الطفرة الشائعة OwlProxy.
وقال بيير ديلتشر الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن مجرمي الإنترنت الذين أرادوا الوصول إلى البنى التحتية للجهات المستهدفة منذ الربع الأول من العام 2021، فضلوا استغلال الثغرات الأمنية في خادم البريد الإلكتروني. وأضاف: "أتاح هذا المنفذ الخلفي سلسلة من حملات التجسس الرقمي الطويلة التي لم يلحظها أحد، بعد أن ظلّ ناشطًا في السرّ لنحو عام كامل. وظلّت معظم الجهات العاملة في مجال الأمن الرقمي منشغلة بالتحقيق في الجرائم الأولى التي جرى تحديدها والاستجابة لها، في مواجهة استغلال هائل وغير مسبوق للثغرات في خادم البريد الإلكتروني. ونتيجة لذلك، سوف يظلّ من الممكن اكتشاف الأنشطة الخبيثة ذات الصلة حتى بعد شهور أو سنوات، ومن المحتمل أن تبقى الحال على ما هي عليه لمدة طويلة".
وشدّد ديلتشر على أهمية اكتساب المؤسسات القدرة على رؤية التهديدات الرقمية الحديثة، حمايةً لأصولها، مؤكّدًا أن مثل هذه الهجمات قد تؤدي إلى إيقاع خسائر مالية كبيرة في المؤسسات أو أضرار تمسّ السمعة، عبر تعطيل العمليات. ومضى إلى القول: "تُعدّ المعلومات المتعلقة بالتهديدات العنصر الوحيد الذي يمكن أن يتيح القدرة على توقع مثل هذه التهديدات في الوقت المناسب، وتصبح الخطورة على أشدّها في حالة خوادم Exchange، فقد جعلتها الثغرات في العام الماضي أهدافًا مثالية لجميع النوايا التخريبية، لذا يجب التدقيق عليها ومراقبتها بعناية بحثًا عن أية غرسات خبيثة قد تكون أُخفيت فيها".
هذا، وتكتشف منتجات كاسبرسكي العديد من وحدات IIS الخبيثة، بما يشمل SessionManager.
ويمكن زيارة Securelist.com لمعرفة المزيد حول أسلوب تشغيل SessionManager وأهدافه.
ويوصي خبراء كاسبرسكي أيضًا باتباع التدابير والإجراءات التالية لحماية الأعمال من مثل هذه التهديدات:
التحقق بانتظام من وحدات IIS المحملة على خوادم IIS المكشوفة (لا سيما خوادم Exchange)، والاستفادة من الأدوات الموجودة في مجموعة خوادم IIS. كذلك التحقق من وجود مثل هذه الوحدات ضمن أنشطة البحث عن التهديدات عند أي إعلان عن اكتشاف ثغرة أمنية كبيرة في خوادم مايكروسوفت.
تركيز الاستراتيجية الدفاعية على اكتشاف حركات البيانات الجانبية وسحب البيانات إلى الإنترنت، مع الانتباه تحديدًا لحركة البيانات الخارجة، لاكتشاف محاولات مجرمي الإنترنت الاتصال بالأنظمة المؤسسية.
الحرص على نسخ البيانات احتياطيًا بانتظام، وضمان الوصول إلى النسخ الاحتياطية بسرعة في حالة الطوارئ.
استخدام حلول مثل Kaspersky Endpoint Detection and Response وخدمة Kaspersky Managed Detection and Response، التي تساعد على تحديد الهجوم وإيقافه في المراحل المبكرة، قبل أن يحقق المهاجمون أهدافهم.
استخدام حل أمني موثوق به للأجهزة الطرفية، مثل Kaspersky Endpoint Security for Business، المزوّد بقدرات منع الاستغلال واكتشاف السلوكيات الغريبة وبمحرك معالجة قادر على إلغاء الإجراءات الخبيثة. كما يتمتع هذا الحلّ بآليات دفاعية تحول دون تمكّن المجرمين من إزالته.

انقر هنا لقراءة الخبر من مصدره.