🚧 Cybrat is a sub-brand of SySOC s.r.o. and is currently in beta phase
🚧 سيبرات علامة فرعية مملوكة لشركة سيسوك وتعمل حالياً ضمن المرحلة التجريبية

CYBRAT

ســيــبــرات

لأن الأمان يبدأ بالمعلومة

,

التهديدات الإلكترونية الحديثة: تحليل متعمق للبرمجيات الخبيثة الجديدة

1–2 minutes

في خطوة جديدة تسلط الضوء على التهديدات الإلكترونية المتزايدة، كشفت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) عن برمجية خبيثة تعرف باسم RESURGE. تم استخدام هذه البرمجية كجزء من نشاط استغلال ثغرة أمنية تم إصلاحها في أجهزة Ivanti Connect Secure.

مفهوم البرمجيات الخبيثة والتحديات التي تواجهها

تحتوي برمجية RESURGE على قدرات مشابهة لبرمجية SPAWNCHIMERA، بما في ذلك إمكانية البقاء بعد إعادة التشغيل، ولكنها تتميز بأوامر مميزة تغير من سلوكها. تشمل هذه القدرات استخدامات مثل rootkit وdropper وbackdoor وbootkit وproxy وtunneler.

الثغرة الأمنية وتداعياتها

الثغرة الأمنية المرتبطة بنشر هذه البرمجية هي CVE-2025-0282، وهي ثغرة تدفق مؤقت تسبب في تنفيذ تعليمات برمجية عن بعد. تؤثر هذه الثغرة على إصدارات محددة من Ivanti Connect Secure وIvanti Policy Secure وIvanti Neurons for ZTA.

  • Ivanti Connect Secure قبل الإصدار 22.7R2.5
  • Ivanti Policy Secure قبل الإصدار 22.7R1.2
  • Ivanti Neurons for ZTA قبل الإصدار 22.7R2.3

تحليل وتطوير البرمجيات الخبيثة

وفقًا لشركة مخاطر أمنية جوجلية (Mandiant)، تم تسليح الثغرة CVE-2025-0282 لتسليم النظام البيئي للبرمجيات الخبيثة المعروفة باسم SPAWN، والتي تتكون من عدة مكونات مثل SPAWNANT وSPAWNMOLE وSPAWNSNAIL. يُعزى استخدام SPAWN إلى مجموعة تجسس مرتبطة بالصين تُعرف باسم UNC5337.

كشفت JPCERT/CC الشهر الماضي عن استخدام الخلل الأمني لتسليم إصدار محدث من SPAWN المعروف باسم SPAWNCHIMERA، الذي يجمع جميع الوحدات المختلفة المذكورة في برمجية واحدة كبيرة، مع تضمين تعديلات لتسهيل الاتصال بين العمليات عبر مقبس UNIX.

الاستجابات والتوصيات الأمنية

أوصت CISA بتحديث أجهزة Ivanti إلى آخر الإصدارات لتفادي التهديدات. كما يُنصح بإعادة تعيين بيانات اعتماد الحسابات المتميزة وغير المتميزة، وتدوير كلمات المرور لجميع المستخدمين في المجال وجميع الحسابات المحلية، ومراجعة سياسات الوصول لتعليق الامتيازات للأجهزة المتأثرة، ومراقبة الحسابات بحثًا عن أي نشاط غير طبيعي.

وجدير بالذكر أن الثغرة CVE-2025-0282 تم استغلالها أيضًا كـ “ثغرة يوم الصفر” بواسطة مجموعة تهديد أخرى مرتبطة بالصين تُعرف باسم Silk Typhoon، كما كشفت مايكروسوفت في وقت سابق من هذا الشهر.

تفاعل ومناقشة

ما هي الاستراتيجيات الأبرز التي يمكن للشركات تبنيها لحماية أجهزتها وأنظمتها من هذه التهديدات المستمرة؟ شاركوا آراءكم وتوصياتكم.

هل وجدت هذا المقال مثيرًا للاهتمام؟ تابعنا على X (تويتر) وفيسبوك لقراءة المزيد من المحتوى الحصري الذي ننشره.

اكتشف المزيد مع سيبرات

اشترك ليصلك أحدث المنشورات على بريدك الإلكتروني

شاركنا رأيك بتعليق

المقالات الرائجة

اكتشف المزيد مع سيبرات

اشترك الآن للاستمرار في القراءة والحصول على الوصول الكامل إلى الأرشيف

تابع القراءة