🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
الصفحة الرئيسية
مراكز استخبارات التهديدات
ذكاء نقاط الضعف

تستهدف مجموعة برامج الفدية CL0p كيانات متعددة من خلال استغلال CVE-2023-0669 في GoAnywhere MFT

اكتشفت منصة XviGil للمخاطر الرقمية السياقية للذكاء الاصطناعي التابعة لـ CloudSek عددًا من الشركات المستهدفة من قبل مجموعة برامج الفدية المسماة CL0p مؤخرًا.
تم التحديث بتاريخ
April 17, 2026
تم النشر في
March 29, 2023
اقرأ الدقائق
6
اشترك في أحدث أخبار الصناعة والتهديدات والموارد.

ملخص تنفيذي

كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشفت عددًا من الشركات التي تستهدفها مجموعة برامج الفدية المسماة Cl0p مؤخرًا. لقد كان أيضًا تم تأسيسها من قبل بعض الباحثين أن مجموعة برامج الفدية CL0p كانت استغلال CVE-2023-0669 في برنامج GoAnywhere MFT. كان استغلال CVE هذا متاحًا قبل يوم واحد من إصدار التصحيح (7.1.2) في 7 فبراير 2023. تم العثور على العديد من لوحات الإدارة الضعيفة لـ GoAnywhere مفهرسة على Shodan التي تعمل على المنفذ 8000.

CL0p ransomware عبارة عن سلالة رفيعة المستوى من برامج الفدية نشطة منذ عام 2019. كما تشتهر المجموعة على نطاق واسع بـ تكتيك «الابتزاز المزدوج»، حيث يتم تهديد البيانات المسروقة أيضًا بالإفراج عنها ما لم يتم دفع فدية.

حدثت الثغرة الأمنية بسبب خطأ إلغاء التسلسل تم استغلاله عن طريق إرسال طلب نشر إلى نقطة النهاية عند '/اذهب إلى أي مكان/ليك/أقبل '. وحدة Metasploit متاحة أيضًا لاستغلالها.

GoAnywhere MFT هي أداة تساعد الأشخاص على مشاركة الملفات بأمان بين مختلف الأنظمة والموظفين والعملاء والشركاء.

تحليل مفصل

واجهة عميل الويب GoAnywhere (التي يمكن الوصول إليها عمومًا من الإنترنت) ليست عرضة لهذا الاستغلال، فقط الواجهة الإدارية هي. يمكن للجهات الفاعلة في مجال التهديد أيضًا البحث عن واجهات عميل الويب على الإنترنت ثم محاولة العثور على لوحات الإدارة على نفس عنوان IP.

الصورة 1: لا تزال مثيلات Goanywhere MFT معروضة على الويب

تشير نتائج بحث Shodan إلى أن الآلاف من لوحات الويب لـ GoAnywhere معروضة على الويب. من بين هؤلاء الآلاف، يعمل حوالي 94 منها على المنفذ 8000 أو المنفذ 8001 حيث توجد لوحة الإدارة (منفصلة عن لوحة الويب). من أجل تنفيذ التعليمات البرمجية عن بُعد، يجب تقديم طلب نشر فقط إلى نقطة النهاية الضعيفة.

الولايات المتحدة الأمريكية يحتوي على غالبية مثيلات GoAnywhere MFT الضعيفة هذه، وبالتالي فإن معظم الضحايا الجدد لمجموعة CL0p ransomware هم من تلك المنطقة.

حول برنامج الفدية CL0p

CL0p ransomware عبارة عن سلالة رفيعة المستوى من برامج الفدية نشطة منذ عام 2019. تعد برامج الفدية سلالة معقدة للغاية وخطيرة كانت شائعة لاستهداف خوادم Microsoft Exchange تاريخيًا من خلال استغلال نقاط ضعف ProxyShell. في الماضي، استهدفت المجموعة أيضًا قطاع الرعاية الصحية بشكل أساسي وتلاحق خوادم البيانات التي تحتوي على معلومات حساسة.

كما تشتهر المجموعة على نطاق واسع بتكتيك «الابتزاز المزدوج»، حيث يتم تهديد البيانات المسروقة أيضًا بالإفراج عنها ما لم يتم دفع فدية.

نواقل الهجوم الشائعة

بينما يتم توزيع برامج الفدية عادةً من خلال تقنيات متعددة، فإننا نرى زيادة في عدد الضحايا بسبب الثغرات الأمنية في برامج الخادم. نظرًا لوجود العديد من الشركات التابعة للمجموعة، إليك بعض التقنيات المختلفة التي تستخدمها المجموعة.

  • رسائل البريد الإلكتروني المخادعة
  • نقاط الضعف المستغلة
  • إمكانية الانتشار من خلال أوراق الاعتماد المسربة من سارقي المعلومات.
  • يتم استغلال صفر أيام بنشاط في البرية.

تحليل نقاط الضعف

الثغرة الأمنية هي خطأ إلغاء التسلسل غير الآمن الذي يسمح بتنفيذ التعليمات البرمجية عن بُعد (RCE). يوجد الكود الضعيف في وحدة التحكم الإدارية لـ GoAnywhere MFT ويعتمد عليه مجموعات مكتبة تبادل الرسائل المجمعة. يمكن العثور على الكود الضعيف في فئة تسمى خدمة الاستجابة للترخيص الذي يمتد خادم HTTP.

الصورة 2: الكود الضعيف

سبب الثغرة الأمنية هو دوبوست الطريقة التي تأخذ معلمة إدخال مستخدم لم يتم التحقق منها ثم تمررها إلى استدعاء الأسلوب في [2]، مما يؤدي إلى ترخيص A.P. احصل على استجابة طريقة. من هناك، تنتقل الثغرة الأمنية إلى com.linoma.license.gen2. وحدة التحكم في الترخيص. احصل على استجابة الطريقة، حيث تكون الشفرة عرضة بالفعل لإلغاء التسلسل.

أ وحدة ميتاسبلوت متاح أيضًا لاستغلال هذه الثغرة الأمنية. أ أداة POC تم إصداره أيضًا على GitHub الذي يأخذ الكائن الذي يحتوي على شفرة ضارة مخزنة في ملف bin ويقوم بتشفيره. يتم إرسال الكائن المشفر عبر طلب نشر إلى نقطة النهاية الضعيفة في '/اذهب إلى أي مكان/ليك/أقبل ' وبعد ذلك تحاول المكتبة إلغاء تسلسلها ويتم تنفيذ التعليمات البرمجية عن بُعد.

الصورة 3: طلب نشر ضار مع استغلال كحمولة

التخفيف

  • قم بتحديث نظامك وتوقف عن كشف المنفذ 8000 حيث توجد لوحة إدارة GoAnywhere MFT على الإنترنت.
  • قم بتسجيل الدخول إلى حسابك واتبع الخطوات المذكورة في إرشادات الأمان على اذهب إلى أي مكان.
  • راجع حسابات المستخدمين الإداريين بحثًا عن أي نشاط مريب، بما في ذلك أسماء المستخدمين غير المعروفة، والحسابات التي تم إنشاؤها بواسطة «النظام» والتي لم يتم التعرف عليها، والتوقيت المريب لإنشاء الحساب، والمستخدمين المتميزين غير الموجودين أو المعطلين الذين ينشئون حسابات.
  • اتصل بدعم GoAnywhere MFT عبر البوابة أو البريد الإلكتروني أو الهاتف للحصول على المساعدة.

المراجع

CloudSek Platform عبارة عن منصة خالية من التعليمات البرمجية تعمل على تشغيل منتجاتنا بقدرات تحليلية تنبؤية للتهديدات.
المشاركات الأخيرة

المقالات الأخيرة

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

احصل على معلومات التهديدات العالمية في الوقت الفعلي

قم بحماية عملك من التهديدات الإلكترونية باستخدام بيانات معلومات التهديدات العالمية في الوقت الفعلي.. تجربة مجانية لمدة 30 يومًا وبدون التزام.
جدولة عرض تجريبي
بيانات معلومات التهديدات في الوقت الحقيقي
مزيد من المعلومات والسياق حول الدردشة تحت الأرض
خدمات البحث حسب الطلب
نموذج لوحة القيادة
موجز معلومات التهديدات العالمية

قم بالحماية والمضي قدمًا الذكاء القابل للتنفيذ

إن Global Cyber Threat Intelligence Feed عبارة عن منصة مبتكرة تجمع المعلومات من مصادر مختلفة لمساعدة الشركات والمؤسسات على البقاء في صدارة الهجمات الإلكترونية المحتملة. توفر هذه الخلاصة تحديثات في الوقت الفعلي للتهديدات الإلكترونية، بما في ذلك البرامج الضارة وعمليات الاحتيال الاحتيالي وغيرها من أشكال الجرائم الإلكترونية.
موثوق بها من قبل أكثر من 400 مؤسسة رائدة
ابدأ
تعرف على المزيد