يوم العلم السعودي.. اعتزاز بالهوية وترسيخ للقيم    الجامعات السعودية تتصدر قائمة أفضل 100 جامعة في العالم في ترتيب الأكاديمية الوطنية للمخترعين الأمريكية    المياه الوطنية تُنفذ خطوط الصرف الصحي في حي العارض بالرياض    براحات الطائف التاريخية.. ساحات للرياضة والسياحة والترفيه    قوات الاحتلال الإسرائيلي تعتقل فلسطينيين اثنين في طولكرم    أجواء روحانية ومزيج من العادات الرمضانية يعيشها المقيمون في المملكة    لقاء خاص مع الممثلة السعودية أسرار أسامة: نجمة صاعدة تضيء سماء الدراما والمسرح السعودي    أمين منطقة القصيم يفتتح مقر حملة جود القصيم    الاحتلال الإسرائيلي قتل 12316 في غزة.. نساء فلسطين يواجهن التهجير والتجويع    زيارات أوكرانية وروسية وأمريكية مرتقبة.. السعودية تحتضن حراكاً دبلوماسياً عالمياً لترسيخ السلام    الإدارة الجديدة تكبح الفلول وتبسط سيطرتها.. سوريا.. العمليات في الساحل تقترب من نهايتها    الاتفاق يعبر العروبة بثنائية    قطبا مدريد يخوضان ديربيين في سباقهما على اللقب    في الجولة 25 من دوري" يلو".. الحزم يواجه الجبلين.. والبكيرية في اختبار الجندل    1340 حالة ضبط ممنوعات في المنافذ الجمركية خلال أسبوع    الدفاع المدني يوضح أرقام الطوارئ أثناء الأمطار    «سدايا» تعزز مشاركة السعوديات في مستقبل الذكاء الاصطناعي    %95 يؤيدون أن تتضمن لوحة المفاتيح رمز الريال    نادي الأخدود الرياضي يحتفي بيوم المرأة بشراكة مجتمعية    الموت يغيب أيقونة الطرب المغربي نعيمة سميح    "حالة إشغال المصليات".. تقنية لخدمة قاصدي المسجد النبوي.. «نسك».. 8 ملايين خدمة للارتقاء بتجربة ضيوف الرحمن    تبرعات المنصة تتجاوز 10 مليارات ريال.. خادم الحرمين وولي العهد يتبرعان ب70 مليوناً للحملة الوطنية للعمل الخيري    أسعار الذهب تتراجع بشكل طفيف مع تحقق مكاسب أسبوعية    المرأة السعودية.. شريك أساسي في بناء المستقبل بفضل رؤية القيادة الرشيدة    الدوادمي الأعلى في الأمطار    سارة بنت خالد ترعى حفل السحور السنوي ل"إنسان"    370 كشافاً يقدمون خدمات إنسانية لزوار المسجد النبوي    المملكة ترأس "وضع المرأة بالأمم المتحدة"    «الزعيم» يختلف عن «السداسي»    كنو يمدد عقده مع الهلال    النجم الأزرق .. المصيف .. القارة والعلمين تصعد لدوري الدرجة الثالثة    40 مبدعًا يمثلون المملكة في آيسف 2025    "مشروع الأمير محمد بن سلمان" يجدد مسجد الدويد بالحدود الشمالية    مجموعة الدكتور سليمان الحبيب الطبية تحصل على شهادة الريادة الذهبية في تصميم الطاقة والبيئة النظيفة LEED    تقنيات عالية لأنظمة الصوت بالحرم المكي    سباق أشباه الموصلات    حملة "صم بصحة" تسجل ملياري خطوة    الصيام الإلكتروني    حين تربي طفلك فأنت تصنع مجتمعا    أمير نجران يقلد الشمري رتبته    نائب أمير حائل يستقبل العياد    المرأة ومأزق المربع الأول    الدولة بين واجبات السياسة وفنون الإدارة 2/2    "حارة الأحمدي" تقيم أطول مائدة رمضانية في جازان من صنيع الأمهات    العلم شامخ والدعوة مفتوحة    الجامعة العربية تدين تصاعد العنف في الساحل السوري    فلسفة الطير: حكمة العلوّ ورؤية ما لا يُرى    الذكاء الاصطناعي يقتحم المطبخ    تقنية متطورة لاستئصال أورام الدماغ    موقف لودي من مواجهة الهلال وباختاكور    الفتح يعاود تدريباته و "دجانيني" يواصل برنامجه العلاجي    كفاءة الإنفاق بالتعليم تلغي اللجان المركزية    في يومها العالمي.. المرأة السعودية تتقدم وتشارك بفعالية في بناء الوطن    Pressreader: السعودية الخيار الجذاب للدبلوماسية العالمية    الجامعة العربية تتابع بقلق بالغ تطورات الأوضاع الأمنية في سوريا    صناعة المدير الجنرال    أمير منطقة جازان يشارك رجال الأمن في الميدان إفطارهم الرمضاني    رئيس محكمة استئناف جازان وقائد حرس الحدود بالمنطقة يزوران أسرة الخرد    









كاسبرسكي تكتشف منفذًا خلفيًا يستهدف جهات حكومية ومنظمات غير ربحية في الشرق الأوسط وتركيا وإفريقيا
البلاد نشر في البلاد يوم 04 - 07 - 2022

اكتشف خبراء كاسبرسكي منفذًا خلفيًا تخريبيًا كان أنشئ ليصبح برمجية خبيثة تستغلّ خادم الويب الشهير Internet Information Services (IIS)، الذي يخضع لتعديلات مايكروسوفت. ويتيح المنفذ الخلفي الذي دعاه الخبراء SessionManager، مجموعة واسعة من الأنشطة التخريبية بمجرد توظيفه، تبدأ من جمع رسائل البريد الإلكتروني وتصل إلى التحكّم الكامل في البنية التحتية للضحية المستهدفة. واستُخدم هذا المنفذ الخلفي أول مرة في أواخر مارس 2021، حين ضرب جهات حكومية ومنظمات غير ربحية في أنحاء مختلفة من العالم، وأوقع ضحايا في ثماني دول بمنطقة الشرق الأوسط وتركيا وإفريقيا، بينها الكويت والمملكة العربية السعودية ونيجيريا وكينيا وتركيا.
وكانت كاسبرسكي كشفت في ديسمبر 2021 عن Owowa، البرمجية الخبيثة غير المعروفة وقتها، والتي تستغلّ خادم الويب IIS، وتسرق بيانات اعتماد دخول المستخدمين إلى خدمة Outlook عبر الويب. وظلّ خبراء الشركة، منذ ذلك الحين، يراقبون نشاط مجرمي الإنترنت في استغلال هذه الفرصة الجديدة، فقد اتضح أن توظيف منفذ خلفي في IIS أضحى توجّهًا لدى مجرمي الإنترنت الذين استغلوا سابقًا إحدى الثغرات من نوع ProxyLogon ضمن خوادم Microsoft Exchange.
ويُمكّن المنفذ الخلفي SessionManager الجهات التخريبية من إدامة نشاطهم وتعزيز قدرتهم على مقاومة التحديثات والتخفّي إلى البنية التحتية التقنية المؤسسية المستهدفة. ويصبح بوسع مجرمي الإنترنت الذين يقفون وراء المنفذ الخلفي، الوصول إلى رسائل البريد الإلكتروني وتمكين المزيد من الوصول التخريبي عن طريق تثبيت أنواع أخرى من البرمجيات الخبيثة أو إدارة الخوادم المخترقة سرًا، والتي يمكن الاستفادة منها بوصفها بنية تحتية خبيثة، وذلك بمجرد الدخول إلى نظام الضحية.
ويتسم SessionManager بضَعف إمكانية الكشف عنه، فقد وجد باحثو كاسبرسكي في أوائل 2022 أن بعض عينات هذا المنفذ الخلفي لم تُصنّف "خبيثة" في عدد من خدمات فحص الملفات الشائعة عبر الإنترنت، حتى الآن، لا يزال SessionManager منتشرًا في أكثر من 90٪ من المؤسسات المستهدفة وفقًا لفحص الإنترنت الذي أجراه باحثو كاسبرسكي.
واخترق SessionManager 34 خادمًا تابعًا ل 24 مؤسسة ومنظمة في أوروبا والشرق الأوسط وجنوب آسيا وإفريقيا، حيث أظهرت الجهة التي يديره اهتمامًا خاصًا بالمنظمات غير ربحية والهيئات الحكومية، ولكنها استهدفت كذلك منظمات طبية وشركات عاملة في قطاعات النفط والنقل وغيرها.
ويرى خبراء كاسبرسكي أن وحدة IIS الخبيثة ربما كان استُعين بها من قِبل عصابة GELSEMIUM، ضمن عمليات تجسس، نظرًا لظاهرة "تشابه الضحايا" واستخدام الطفرة الشائعة OwlProxy.
وقال بيير ديلتشر الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن مجرمي الإنترنت الذين أرادوا الوصول إلى البنى التحتية للجهات المستهدفة منذ الربع الأول من العام 2021، فضلوا استغلال الثغرات الأمنية في خادم البريد الإلكتروني. وأضاف: "أتاح هذا المنفذ الخلفي سلسلة من حملات التجسس الرقمي الطويلة التي لم يلحظها أحد، بعد أن ظلّ ناشطًا في السرّ لنحو عام كامل. وظلّت معظم الجهات العاملة في مجال الأمن الرقمي منشغلة بالتحقيق في الجرائم الأولى التي جرى تحديدها والاستجابة لها، في مواجهة استغلال هائل وغير مسبوق للثغرات في خادم البريد الإلكتروني. ونتيجة لذلك، سوف يظلّ من الممكن اكتشاف الأنشطة الخبيثة ذات الصلة حتى بعد شهور أو سنوات، ومن المحتمل أن تبقى الحال على ما هي عليه لمدة طويلة".
وشدّد ديلتشر على أهمية اكتساب المؤسسات القدرة على رؤية التهديدات الرقمية الحديثة، حمايةً لأصولها، مؤكّدًا أن مثل هذه الهجمات قد تؤدي إلى إيقاع خسائر مالية كبيرة في المؤسسات أو أضرار تمسّ السمعة، عبر تعطيل العمليات. ومضى إلى القول: "تُعدّ المعلومات المتعلقة بالتهديدات العنصر الوحيد الذي يمكن أن يتيح القدرة على توقع مثل هذه التهديدات في الوقت المناسب، وتصبح الخطورة على أشدّها في حالة خوادم Exchange، فقد جعلتها الثغرات في العام الماضي أهدافًا مثالية لجميع النوايا التخريبية، لذا يجب التدقيق عليها ومراقبتها بعناية بحثًا عن أية غرسات خبيثة قد تكون أُخفيت فيها".
هذا، وتكتشف منتجات كاسبرسكي العديد من وحدات IIS الخبيثة، بما يشمل SessionManager.
ويمكن زيارة Securelist.com لمعرفة المزيد حول أسلوب تشغيل SessionManager وأهدافه.
ويوصي خبراء كاسبرسكي أيضًا باتباع التدابير والإجراءات التالية لحماية الأعمال من مثل هذه التهديدات:
التحقق بانتظام من وحدات IIS المحملة على خوادم IIS المكشوفة (لا سيما خوادم Exchange)، والاستفادة من الأدوات الموجودة في مجموعة خوادم IIS. كذلك التحقق من وجود مثل هذه الوحدات ضمن أنشطة البحث عن التهديدات عند أي إعلان عن اكتشاف ثغرة أمنية كبيرة في خوادم مايكروسوفت.
تركيز الاستراتيجية الدفاعية على اكتشاف حركات البيانات الجانبية وسحب البيانات إلى الإنترنت، مع الانتباه تحديدًا لحركة البيانات الخارجة، لاكتشاف محاولات مجرمي الإنترنت الاتصال بالأنظمة المؤسسية.
الحرص على نسخ البيانات احتياطيًا بانتظام، وضمان الوصول إلى النسخ الاحتياطية بسرعة في حالة الطوارئ.
استخدام حلول مثل Kaspersky Endpoint Detection and Response وخدمة Kaspersky Managed Detection and Response، التي تساعد على تحديد الهجوم وإيقافه في المراحل المبكرة، قبل أن يحقق المهاجمون أهدافهم.
استخدام حل أمني موثوق به للأجهزة الطرفية، مثل Kaspersky Endpoint Security for Business، المزوّد بقدرات منع الاستغلال واكتشاف السلوكيات الغريبة وبمحرك معالجة قادر على إلغاء الإجراءات الخبيثة. كما يتمتع هذا الحلّ بآليات دفاعية تحول دون تمكّن المجرمين من إزالته.

انقر هنا لقراءة الخبر من مصدره.