🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
إلى الخلف
استخبارات الخصم

مسقط رأس السنة: مولود: #إيد #مقبل #مغ#غارد_عن_إنتلبروكر في جينين

تحليل متعمق لخرق سلسلة التوريد لمجموعة BORN Group، حيث استغلت IntelBroker ثغرة Jenkins لاستخراج البيانات الحساسة، مما أثر على العديد من العملاء العالميين
July 23, 2024
دقيقة
جدول المحتوى
مثال H2
مثال H2

الفئة: استخبارات الخصم

الصناعة: متعدد

التحفيز: المالية

المنطقة: عالمي

المصدر*:

B - عادة ما يمكن الاعتماد عليها

2 - ربما صحيح

ملخص تنفيذي

يبحث هذا التقرير في هجوم كبير لسلسلة التوريد يستهدف مزود خدمة تكنولوجيا المعلومات BORN Group. استغل ممثل التهديد، Intelbroker، CVE-2024-23897 لاختراق أنظمة BORN Group، واستخراج البيانات الحساسة من العديد من العملاء.

بالإضافة إلى ذلك، تدعي Intelbroker أنها اخترقت قاعدة بيانات السوق كجزء من هجوم سلسلة التوريد هذا، مما أدى إلى الكشف عن المعلومات الشخصية لحوالي 196,000 فرد.

الضحايا:

الضحية الأولية المحتملة: 

اسم المؤسسة: مجموعة بورن

اسم النطاق: https://www.borngroup.com/ 

من هي مجموعة BORN

BORN Group هي وكالة تسويق رقمية عالمية متخصصة في التحول الرقمي وحلول التجارة. تم تأسيسها في عام 2011، وهي تقدم مجموعة من الخدمات بما في ذلك التصميم الإبداعي وإنتاج المحتوى والتكامل التكنولوجي للعلامات التجارية في مختلف الصناعات. تشتهر BORN Group بحلولها الشاملة التي تعزز تجارب العملاء وتدفع نمو الأعمال. تعمل الشركة دوليًا، ولها مكاتب في المدن الكبرى حول العالم.

الضحايا الثانويون: 

1stwave، بنك أيرلندا، BTEC، سيلكوم، دلتا فاوتيت، فرونتير ساو ميلز، جورميت إيجيبت، هيتاشي، ليندت تشوكليت، نستله، ريبوك، توبكون، يونيليفر

هجوم متطور على مجموعة بورن

  1. الوصول الأولي: يستغل ممثل التهديد CVE-2024-23897 على خادم Jenkins المكشوف.
  2. استغلال ثغرة LFI: يستخدم عامل التهديد CVE-2024-23897 (ثغرة LFI) لسرقة مفاتيح SSH.
  3. الوصول إلى GitHub: يستخدم Threat Actor مفاتيح SSH المسروقة للوصول إلى مستودع GitHub الخاص بـ borngroup.com.
  4. تفريغ المستودع: يقوم Threat Actor بتفريغ جميع المستودعات من GitHub التابع لمجموعة BORN Group.
  5. تسلل ضحايا آخرين: يستغل Threat Actor المفاتيح المشفرة والأسرار الموجودة في الكود المصدري للتسلل إلى الأنظمة الأخرى.

مجموعة BORN كهدف أساسي

  • بنية المجلد المشترك: متسقة»مولود«تشير اصطلاحات تسمية المجلدات عبر مستودعات متعددة إلى دور مركزي لمجموعة BORN في البيئة المتأثرة.
  • تداخل العملاء: إن تحديد ضحايا الحوادث كعملاء لمجموعة BORN يعزز المشاركة المحتملة للشركة كهدف أساسي.

خادم معرض للخطر

إن اكتشاف خادم BORN Group مكشوف يعمل ببرنامج Jenkins الضعيف يعزز الفرضية القائلة بأن الشركة كانت هدفًا مباشرًا للهجوم.

الملف الشخصي لممثل التهديد - Intelbroker

Intelbroker هي جهة فاعلة نشطة للغاية في مجال تهديد الجريمة الإلكترونية تعمل منذ أكتوبر 2022 على الأقل. بدافع أساسي من المكاسب المالية، تتخصص Intelbroker في اختراق البيانات والابتزاز والعمل كوسيط وصول داخل عالم الجريمة الإلكترونية السري. غالبًا ما يستهدف الممثل المنظمات البارزة في مختلف القطاعات، بما في ذلك الحكومة والاتصالات والسيارات والتكنولوجيا.

طريقة العمل

تستخدم Intelbroker نهجًا متعدد الأوجه للتنازل عن الأهداف والربح من البيانات المسروقة:

  • خروقات البيانات: اختراق المؤسسات لسرقة البيانات الحساسة، بما في ذلك معلومات تحديد الهوية الشخصية للعملاء والسجلات المالية ورمز المصدر الخاص.
  • الابتزاز: الاستفادة من البيانات المسروقة لابتزاز الضحايا من خلال تهديدات الكشف العام أو البيع لمجرمي الإنترنت الآخرين.
  • وساطة الوصول: بيع الوصول إلى الشبكات والأنظمة المخترقة، مما يوفر للجهات الفاعلة الأخرى في مجال التهديد نقطة دخول لمزيد من الهجمات.

الأدوات والتقنيات

  • رانسومواري لقوة التحمل: تدعي شركة Intelbroker أنها طورت وشغلت برنامج الفدية «Endurance». يقوم هذا البرنامج الضار المستند إلى C #، والذي يعمل بشكل أكبر كمسح، بالكتابة فوق الملفات ببيانات عشوائية، وإعادة تسميتها، ثم حذف النسخ الأصلية. الكود المصدري لـ Endurance متاح للجمهور على مستودع GitHub الذي يعتقد أنه ينتمي إلى الممثل.
  • استغلال خوادم جينكينز: تستهدف Intelbroker عادةً خوادم Jenkins المكشوفة، وتستفيد من نقاط الضعف للوصول الأولي والحركة الجانبية داخل شبكات الضحايا.
  • حل وسط من طرف ثالث: في حالة واحدة على الأقل تتعلق بـ T-Mobile (وهو ما تنفيه الشركة)، ربما تكون Intelbroker قد اخترقت مزود خدمة تابع لجهة خارجية للوصول إلى شبكة المؤسسة المستهدفة.

المطالبات البارزة والأنشطة السابقة:

  • أوتوتريدر
  • فولفو
  • AT&T
  • فيريزون
  • تي موبايل (متنازع عليها)

مؤشرات التسوية (IOCs)

عناوين URL

  • http [:] //h44jyyfomcbnnw5dha7zggkvpzbdyx2onu4fxaa5smxrgbjgq7had.onion/
  • olx.id7423 [.] ru
  • بوكسبيري.id7423 [.] ru
  • تافيتو للإيجار.id7423 [.] ru
  • موقع 3inf [.]

تجزئات الملفات (SHA256)

  • 600 be5ab7f0513833336 bec705ca9bcfd1150a2931e61a4752b8de4c0af7b03a
  • 8 أمبير 3 أمبير 9 إيفا 2631435016 أمبير 4 قدم 38 قدم 153 عرض 52 سم 647146 إي
  • 285 e0573 ef667 c6fb7aeb1608ba1af9e2c86b452
  • 26727د 5 قدم مكعب 79de2401 ca0c9b2974 cd99226 ديسيبل
  • دي سي 7 سي بي 3 بي اف دي سي 236 سي 41 سي 4 باك 911 دا 2

سورة التوست

  • السيد الدكتور جنكينز الذي يحمل اسم صاحب الفضل في الحصول على شهادة المرور CVE-2024-23897.
  • يجب على الشركات التي تستخدم خدمات Born Group إجراء تدقيق أمني شامل لتحديد أي تنازلات محتملة.
  • #السعيدية_والدواب #ل_تونس، #وزارة التربية.
  • .
  • طريق البر الرئيسي - المدينة المنورة - التعليم في الموصل.

برنامج الحافر

كلاودسك ترياد
قسم أبحاث التهديدات وتحليلات المعلومات في CloudSek
كلاودسك ترياد
قسم أبحاث التهديدات وتحليلات المعلومات في CloudSek

مدونات ذات صلة

هذا نص داخل كتلة div.
استخبارات الخصم
January 15, 2026
7
دقيقة
عمليات HUMINT تكشف عن حملة التعدين الخفي: التوزيع القائم على الخلاف للبرامج الضارة لاختطاف الحافظة التي تستهدف مجتمعات العملات المشفرة
اقرأ المزيد
هذا نص داخل كتلة div.
استخبارات الخصم
January 8, 2026
6
دقيقة
تولد من جديد في الصدأ: الماء الموحل يطور الأدوات باستخدام غرسة RustyWater
اقرأ المزيد
هذا نص داخل كتلة div.
استخبارات الخصم
December 29, 2025
8
دقيقة
أوزار ديت نيت نيد ريكمار
اقرأ المزيد