• الفئة: استخبارات الخصم
• ‍الصناعة: الحكومة
• ‍التحفيز: حملات الاحتيال
• ‍المنطقة: الشرق الأوسط
• ‍مصدر*: D - موثوقة إلى حد ما؛ 4 - ربما صحيح

‍

ملخص تنفيذي

تهديد

• تمت إعادة توجيه موقع ويب لبيع الأثاث إلى صفحة تصيد تستهدف كيانًا تابعًا للحكومة القطرية.
• طلب موقع الويب من الضحية المستهدفة إدخال كلمة مرور للكيان المستهدف.

تأثير

• يمكن أن يؤدي الوصول إلى بيانات اعتماد البريد الإلكتروني المستهدف إلى إمكانية الوصول إلى مواقع الويب والمناقصات واستغلالها.
• نفس البريد الإلكتروني مخصص للاتصال بالمطورين، مما يعني جميع الملفات المستضافة على موقع الويب وحسابات NAS.

تخفيف

• راقب الحالات الشاذة في حسابات المستخدمين، والتي قد تشير إلى عمليات استحواذ محتملة للحساب.
• تدقيق/مراقبة سجلات الأحداث والحوادث لتحديد الأنماط/السلوكيات غير العادية.
• تحقق من رسائل البريد الإلكتروني/الرسائل الصادرة من البريد العشوائي/المصادر المشبوهة.

‍

تحليل صفحة التصيد

وفي 14 شباط/فبراير 2023, كلاود سيكاكتشف فريق استخبارات التهديدات عنوان URL، حيث تم استغلال ثغرة إعادة التوجيه المفتوحة لتوجيه الضحية إلى صفحة تسجيل دخول لكيان تابع لحكومة قطر. تم تعيين تسجيل الدخول افتراضيًا إلى نطاق تابع لحكومة قطر، مما يشير إلى هدف الهجوم. كانت صفحة التصيد الاحتيالي ذات تصميم دون المستوى المطلوب تحاول بشكل فضفاض خداع الضحية لإدخال بيانات الاعتماد المستضافة على موقع الويب.

‍

ثغرة إعادة التوجيه المفتوحة:

تنشأ ثغرة إعادة التوجيه المفتوحة عندما يقوم عنوان URL بإعادة التوجيه إلى موقع ويب عشوائي غير آمن، من خلال بيانات إدخال المستخدم. يساعد هذا المهاجمين على استهداف المزيد من الضحايا حيث من المحتمل أن ينقروا على روابط مواقع الويب الموثوقة، ويتم إعادة توجيههم دون علمهم إلى المحتوى المستضاف للمهاجم.

‍

عند إدخال بيانات الاعتماد، يعرض موقع الويب خطأ يشير إلى إدخال بيانات اعتماد غير صالحة. ومع ذلك، من خلال فحص طلبات الشبكة، أ بريد 302 تم تقديم الطلب إلى عنوان URL الخاص ببنك كاليفورنيا حيث تم إرسال بيانات الاعتماد. (لمزيد من المعلومات، يرجى الرجوع إلى الملحق)

‍

معلومات من الويب المفتوح

من خلال تحليل النطاق الأولي الذي تمت إعادة توجيهه إلى عنوان URL للتصيد الاحتيالي، لوحظ أن الثغرة الأمنية في عنوان URL يمكن أن تساعد في ذلك إعادة التوجيه إلى أي مجال مطلوب. كان هذا الاستغلال واضحًا في حالات متعددة تم العثور عليها في المجال.

للملاحظة:

تم العثور على نطاق تابع لشركة سويسرية لتصنيع أغطية الأرضيات عرضة لهذه الثغرة الأمنية وتم استخدامه لإعادة التوجيه إلى الكيان الحكومي القطري الذي استهدفه المهاجمون.

اعتبارًا من اليوم، لا تزال الثغرة الأمنية وصفحة التصيد نشطة.

‍

وقد تم ذلك على الأرجح لتجنب الكشف من قبل الضحايا. نطاقات التصيد التي تبدأ بـ صور [.] io من المعروف أنها تتعرض للاستغلال على نطاق واسع من قبل الجهات الفاعلة في مجال التهديد للتصيد الاحتيالي في الماضي. وبالتالي، لتجنب تنبيهات التصيد الاحتيالي من قبل محركات البحث، استخدمت الجهات الفاعلة في مجال التهديد ثغرة إعادة التوجيه المفتوحة. (لمزيد من المعلومات، يرجى الرجوع إلى الملحق)

‍

حول IPFS [.] IO

نظام الملفات بين الكواكب (IPFS) هو بروتوكول يتيح تخزين البيانات من نظير إلى نظير ونقلها من خلال نظام ملفات موزع. نظرًا لأنه يتمتع بحرية الاستضافة والوصول، يمكن للمهاجمين الوصول إلى البيانات (المحتوى) باستخدام CID الصحيح، بينما يتيح IPFS تشفير النقل. استنادًا إلى التحليل من أكتوبر 2022 وحتى اليوم أثناء كتابة هذا التقرير، تم استخدام ipfs [.] io أكثر من 761 مرة لإنشاء نطاقات التصيد الاحتيالي.

المراجع

• *مصدر الذكاء وموثوقية المعلومات - ويكيبيديا
• ^#بروتوكول إشارات المرور - ويكيبيديا

‍

الملحق

‍

‍

‍