🚧 Cybrat is a sub-brand of SySOC s.r.o. and is currently in beta phase
🚧 سيبرات علامة فرعية مملوكة لشركة سيسوك وتعمل حالياً ضمن المرحلة التجريبية

CYBRAT

ســيــبــرات

لأن الأمان يبدأ بالمعلومة

,

الهجمات السيبرانية الحديثة: مجموعة ميدوسا وأحدث الأساليب في تعطيل أدوات الأمن

2–3 minutes

تشهد الساحة السيبرانية تطورات سريعة في أساليب الهجمات، وأحد أبرز الأمثلة الحديثة هو استغلال مجموعة ميدوسا لبرنامج الفدية كخدمة (RaaS) في تنفيذ هجمات متقدمة تستهدف تعطيل أدوات مكافحة البرمجيات الخبيثة. في هذا السياق، يبرز استخدام سائق ضار يعرف باسم “ABYSSWORKER” كجزء من هجوم يعتمد على استخدام سائق ضعيف تم جلبه من قبل المهاجمين (BYOVD) لتعطيل أدوات الكشف والاستجابة النهائية (EDR).

تحليل معمق وسياق تاريخي

وفقًا لتقرير من شركة Elastic Security Labs، تم رصد هجوم بواسطة ميدوسا يسعى لنشر برنامج تشفير باستخدام محمل مشفر عبر خدمة (PaaS) يُعرف باسم HeartCrypt. هذا المحمل يتم نشره إلى جانب سائق موقّع بشهادة ملغاة من بائع صيني، والذي أُطلق عليه اسم “ABYSSWORKER”. الهدف من هذا السائق هو استهداف وتحييد شركات EDR المختلفة باستخدام شهادة موقعة، مما يمنحه مظهر الثقة ويتيح له تجاوز أنظمة الأمان دون إثارة الانتباه.

يرتبط استخدام شهادات موقعة بعمليات احتيالية تعود إلى عقود مضت، حيث تُسهل هذه الشهادات مرور البرمجيات الضارة عبر أنظمة الأمان. تم رصد العشرات من العناصر ذات الصلة بـ “ABYSSWORKER” على منصة VirusTotal منذ أغسطس 2024 وحتى فبراير 2025، وكل العينات المكتشفة موقعة بشهادات ملغاة ومحتمل أن تكون مسروقة من شركات صينية.

التأثير والتحديات الأمنية

تكمن خطورة هذا النهج في أن “ABYSSWORKER” يمكنه تعطيل أنظمة EDR بشكل دائم عن طريق إضافة معرّفات العمليات إلى قائمة العمليات المحمية عالميًا والاستجابة لطلبات التحكم في إدخال/إخراج الجهاز الواردة. هذه القدرات تتيح للمهاجمين تنفيذ عمليات شاملة تشمل التلاعب بالملفات وإنهاء العمليات والسائقين، مما يفتح بابًا واسعًا أمام الهجمات السيبرانية.

على سبيل المثال، يمكن استخدام كود التحكم 0x222400 لإزالة جميع استدعاءات الإشعارات المسجلة، وهو نهج مشابه لما تعتمده أدوات تعطيل EDR الأخرى مثل EDRSandBlast وRealBlindingEDR.

رؤى الخبراء والاتجاهات السيبرانية الحديثة

تشير تقارير من Venak Security إلى استغلال المهاجمين لسائق نواة ضعيف ومرتبط ببرنامج ZoneAlarm لمكافحة الفيروسات كجزء من هجوم BYOVD للحصول على امتيازات مرتفعة وتعطيل ميزات الأمان في Windows مثل سلامة الذاكرة. هذا النوع من الهجمات يسمح للمهاجمين بإقامة اتصال بروتوكول سطح المكتب البعيد (RDP) للوصول المستمر إلى الأنظمة المصابة.

من الجدير بالذكر أن Check Point قامت بسد هذه الثغرة منذ ذلك الحين، مشيرة إلى أن السائق المتأثر (vsdatant.sys، الإصدار 14.1.32.0) لم يعد مستخدمًا في الإصدارات الحالية من منتجاتها. وللحماية الكاملة، توصي الشركة المستخدمين بالتأكد من تشغيل أحدث إصدارات ZoneAlarm أو Harmony Endpoint.

نقطة للنقاش والتفاعل

مع تزايد تعقيد الهجمات السيبرانية الحديثة، كيف يمكن للمؤسسات تعزيز دفاعاتها ضد هذا النوع من التهديدات؟ وما هي الخطوات التي يجب اتخاذها لضمان تحديث أنظمة الأمان باستمرار لمواجهة التهديدات المتطورة؟

لمزيد من المعلومات والتحديثات حول الأمن السيبراني، تابعونا على X وFacebook.

اكتشف المزيد مع سيبرات

اشترك ليصلك أحدث المنشورات على بريدك الإلكتروني

شاركنا رأيك بتعليق

المقالات الرائجة

اكتشف المزيد مع سيبرات

اشترك الآن للاستمرار في القراءة والحصول على الوصول الكامل إلى الأرشيف

تابع القراءة