في فبراير ، اكتشف خبراء كاسبرسكي هجوماً في يوم الصفر يستهدف نظام ملفات الدخول المشترك من Microsoft.
حاولت مجموعة من مجرمي الإنترنت نشر Nokoyawa ransomware من خلال استغلال الثغرات الأمنية التي تم تطويرها لإصدارات وبنيات مختلفة من أنظمة تشغيل Windows ، بما في ذلك Windows 11.
رداً على ذلك ، تمكنت Microsoft من تعيين حزمة CVE-2023-28252 لهذه الثغرة الأمنية وتصحيحها في Patch Tuesday.
حاول المهاجمون سابقًا أيضًا تنفيذ ترقيات مماثلة لعمليات الاستغلال المتميزة في الهجمات ضد العديد من الشركات الصغيرة والمتوسطة في مناطق الشرق الأوسط وأمريكا الشمالية وآسيا.
على الرغم من أن معظم الثغرات الأمنية التي اكتشفتها Kaspersky تستخدم APTs ، فقد ثبت أن مجموعات تهديد برامج الفدية المتطورة تستغل هذه الثغرات الأمنية لأغراض تتعلق بالجرائم الإلكترونية.
تتميز هذه المجموعة عن غيرها من خلال استخدام ثغرات مماثلة ، ولكنها فريدة من نوعها في استخدامها لنقاط الضعف الشائعة في نظام ملفات السجل.
اكتشفت Kaspersky خمس حالات استغلال على الأقل من هذا النوع. تم استخدام هذه الهجمات في هجمات تستهدف شركات البيع بالتجزئة والجملة والشركات الأخرى العاملة في مجالات الطاقة والتصنيع والرعاية الصحية وتطوير البرمجيات وغيرها من القطاعات.
حددت Microsoft حزمة CVE-2023-28252 لترقية نظام ملفات السجل العام للتغلب على الثغرة الأمنية التي تم استغلالها من خلال العبث بتنسيق الملف المستخدم من قبل النظام الفرعي ، والذي تم اكتشافه (هجوم فوري) يعالج الثغرة الأمنية.
كشف باحثو كاسبرسكي عن الثغرة الأمنية في فبراير الماضي بناءً على عمليات مسح إضافية أجريت ضد محاولات عديدة لتنفيذ عمليات استغلال مماثلة على خوادم Microsoft Windows التي تستخدمها الشركات الصغيرة في الشرق الأوسط وأمريكا الشمالية.
تمكنت Kaspersky من اكتشاف الثغرة الأمنية CVE-2023-28252 لأول مرة في الهجمات حيث حاول المجرمون نشر إصدارات جديدة من Nokoyawa ransomware.
الإصدار السابق من هذا البرنامج كان عبارة عن نسخة من JSWorm تحت اسم جديد ، والذي كان في الهجمات السابقة نسخة من Nokoyawa ، ولكنه مختلف تمامًا عن JSWorm في مجمله.
تم تطوير الثغرات الأمنية المستخدمة في الهجمات لدعم إصدارات وبنيات مختلفة من أنظمة تشغيل Windows ، بما في ذلك: يحتوي نظام (Microsoft Windows) على اسم مستخدم وكلمة مرور.
قال بوريس لارين ، الباحث الأمني الرئيسي في فريق البحث والتحليل العالمي GReAT في Kaspersky: في الماضي ، كانت هذه الثغرات أدوات في أيدي APTs ، لكن مجرمي الإنترنت الآن لديهم الموارد لاستغلال هذه الأنواع من الثغرات الأمنية واستخدامها بشكل روتيني في هجماتهم.
تزداد المشكلة تعقيدًا بسبب دور مطور الثغرات الأمنية ، والذي هو على استعداد للمساعدة في تطوير البرامج الضرورية بعد تنفيذ الهجوم.
هنا ، يجب على الشركات تنزيل أحدث إصدار من Microsoft في أسرع وقت ممكن واستخدام طرق حماية أخرى مثل حلول نقطة النهاية EDR.
في هذا الصدد ، يمكن الاعتماد على منتجات Kaspersky Lab لاكتشاف حالات استغلال الثغرات الأمنية والبرامج الضارة المرتبطة بها ولحماية جهازك من هذه المخاطر.
يمكنك معرفة المزيد حول هذا النوع الجديد من الهجوم ، والمعروف باسم (الهجوم الفوري) ، على Securelist. ستتوفر تفاصيل إضافية بعد تسعة أيام من انتهاء الحزمة يوم الثلاثاء ، أبريل ، حتى يكون لدى الشركات الوقت لتصحيح أنظمتها.
لحماية مؤسستك من الهجمات التي تستغل الثغرات الأمنية المذكورة أعلاه ، يوصي خبراء Kaspersky بما يلي:
بالإضافة إلى التحديث المنتظم ، قم بتحديث نظام جهازك (Microsoft Windows) في أسرع وقت ممكن.
استخدم منع الاستغلال واكتشاف السلوك ومحرك إصلاح يمكنه معالجة الإجراءات الضارة باستخدام حل أمان موثوق به لنقاط النهاية مثل Kaspersky Endpoint Security for Business.
قم بتثبيت حلول APT ونقطة النهاية والاستجابة التي تتيح إمكانية اكتشاف التهديدات والتحقيق فيها ومعالجتها في الوقت الفعلي. يجب تزويد فرق مركز العمليات الأمنية بالأدوات التي يحتاجون إليها للوصول إلى أحدث معلومات التهديدات وإمدادهم بانتظام بالمهارات اللازمة من خلال التدريب المتخصص. كل ذلك متاح في إطار عمل Kaspersky Expert Security.
بالإضافة إلى توفير حماية كافية لنقاط النهاية ، فقد خصصنا خدمات للمساعدة في منع الهجمات الأكثر تعقيدًا. يساعد الاكتشاف والاستجابة المُدار من Kaspersky أيضًا في تحديد الهجمات وإيقافها في المراحل المبكرة ، قبل أن تصل إلى أهدافها.
إرسال تعليق