🚧 Cybrat is a sub-brand of SySOC s.r.o. and is currently in beta phase
🚧 سيبرات علامة فرعية مملوكة لشركة سيسوك وتعمل حالياً ضمن المرحلة التجريبية

CYBRAT

ســيــبــرات

لأن الأمان يبدأ بالمعلومة

,

الحملة السيبرانية الخبيثة: استهداف متزايد لليابان بتقنيات متطورة

2–3 minutes

منذ بداية عام 2025، تشهد اليابان حملة سيبرانية خبيثة واسعة النطاق تستهدف مجموعة متنوعة من القطاعات، مما يثير القلق بشأن التهديدات المستمرة للأمن السيبراني في البلاد. هذه الهجمات غير المعروفة المصدر تستغل ثغرة أمنية خطيرة في نظام (PHP-CGI) على نظام التشغيل ويندوز، مما يمنح المهاجمين قدرة وصول أولية إلى الأجهزة المستهدفة.

تحليل الثغرة الأمنية وآليات الاستغلال

أوضح الباحث في شركة سيسكو تالوس، شيتان راغوبراساد، أن المهاجمين استغلوا الثغرة الأمنية CVE-2024-4577، وهي ثغرة تنفيذ كود عن بُعد (RCE) في تطبيق (PHP-CGI) على نظام ويندوز، للتمكن من الوصول الأولي إلى الأجهزة المستهدفة. بعد ذلك، يستخدم المهاجمون باور شيل (PowerShell) لتنفيذ شيفرة Cobalt Strike العكسية التي تمنحهم وصولًا دائمًا إلى الأجهزة المصابة.

القطاعات المستهدفة وأهمية حمايتها

تشمل الأهداف الرئيسية للحملة الخبيثة شركات في قطاعات التكنولوجيا والاتصالات والترفيه والتعليم والتجارة الإلكترونية في اليابان. هذه القطاعات حيوية للاقتصاد الياباني وتمثل هدفًا جذابًا للمهاجمين الذين يسعون إلى سرقة المعلومات الحساسة أو إحداث اضطرابات.

الأنشطة الخبيثة والتقنيات المستخدمة

بعد الحصول على الوصول الأولي، يقوم المهاجمون بتنفيذ عمليات استطلاع ورفع الامتيازات والتنقل الأفقي باستخدام أدوات مثل JuicyPotato و RottenPotato و SweetPotato و Fscan و Seatbelt. لتحقيق استمرارية الهجوم، يقومون بتعديل سجل ويندوز وإنشاء مهام مجدولة وخدمات مخصصة باستخدام إضافات Cobalt Strike المعروفة باسم TaoWu.

للحفاظ على التخفي، يمسحون سجلات الأحداث باستخدام أوامر wevtutil، مما يزيل أي أثر لنشاطاتهم من سجلات أمان ويندوز والنظام والتطبيقات. في النهاية، يستخدمون أوامر Mimikatz لاستخراج كلمات المرور وNTLM من ذاكرة الجهاز المصاب.

الأدوات والخوادم المستخدمة في الهجمات

أظهرت التحليلات أن خوادم التحكم والقيادة (C2) المرتبطة بأداة Cobalt Strike كانت تحتوي على قوائم دليلية مفتوحة على الإنترنت، مما كشف عن جميع الأدوات الإجرامية المستضافة على خوادم سحابية تابعة لشركة Alibaba. من بين الأدوات المستخدمة، نجد إطار العمل BeEF لاستغلال المتصفحات، وإطار Viper C2 للقيادة والسيطرة، وإطار Blue-Lotus للهجمات عبر XSS.

التوقعات المستقبلية والتوصيات

وفقًا لتقديرات راغوبراساد، فإن دوافع المهاجمين تتجاوز مجرد سرقة بيانات الاعتماد. تتضمن الأنشطة اللاحقة للاختراق إنشاء استمرارية ورفع الامتيازات إلى مستوى النظام، مما يشير إلى احتمالية وقوع هجمات مستقبلية. لذلك، يجب على المؤسسات تعزيز أنظمة الأمان وتحديثها بانتظام لحماية نفسها من هذه التهديدات.

ما هي التدابير الوقائية التي تعتقد أنها الأكثر فعالية لحماية المؤسسات من الهجمات السيبرانية المتقدمة؟ شاركنا برأيك على تويتر أو فيسبوك.

اكتشف المزيد مع سيبرات

اشترك ليصلك أحدث المنشورات على بريدك الإلكتروني

شاركنا رأيك بتعليق

المقالات الرائجة

اكتشف المزيد مع سيبرات

اشترك الآن للاستمرار في القراءة والحصول على الوصول الكامل إلى الأرشيف

تابع القراءة