🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
الصفحة الرئيسية
مراكز استخبارات التهديدات
مجموعة ممثلي التهديد

ممثل التهديد الذي يدعي أنه قام باختراق IBM وجامعة ستانفورد يكشف عن TTPs الخاصة به

حدد xviGil منشورًا على منتدى الجرائم الإلكترونية الناطق باللغة الإنجليزية يشير إلى Jenkins كواحد من TTPs التي يستخدمها ممثل التهديد. تحتوي هذه الوحدة على إمكانات استحواذ مخفية على سطح المكتب للحصول على نقرات على الإعلانات.
تم التحديث بتاريخ
April 17, 2026
تم النشر في
June 30, 2022
اقرأ الدقائق
5
اشترك في أحدث أخبار الصناعة والتهديدات والموارد.
الفئة: الذكاء العدائينوع التهديد: خدمات ممثل التهديدالتحفيز: الماليةالمنطقة: عالميمصدر*: D4

ملخص تنفيذي

تهديدتأثيرتخفيف
  • ذكر أحد ممثلي التهديد كيف ساعد جينكينز بشكل كبير في الاستيلاء على الحسابات الحساسة للمنظمة.
  • يمتلك الممثل تاريخًا في بيع عمليات الوصول لشركة IBM والوصول إلى الويب للكيانات الحكومية المختلفة.
  • يمكن استخدام TTPs (التكتيكات والتقنيات والإجراءات) التي يستخدمها ممثل التهديد من قبل مهاجمين آخرين لإجراء عمليات استغلال مماثلة.
  • يمكن لوحدات مثل هذه تمكين هجمات برامج الفدية المستمرة والمعقدة.
  • قم بتصحيح البرامج إلى أحدث إصداراتها أو قم بتنفيذها باستخدام حل بديل.
  • قم بمراجعة ومراقبة الحالات الشاذة في شبكات الأجهزة التي تعتبر مؤشرات للتسوية المحتملة.
كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر حدد منشورًا في منتدى الجرائم الإلكترونية الناطق باللغة الإنجليزية يذكر جنكينز كواحدة من TTPs المستخدمة من قبل ممثل التهديد. تحتوي هذه الوحدة على إمكانات استحواذ مخفية على سطح المكتب للحصول على نقرات على الإعلانات. استنادًا إلى المناقشات السرية، يتوقع باحثو CloudSek أن تؤدي هذه الحملة الضارة إلى تكثيف محاولات إصابة الروبوتات. [معرف التسمية التوضيحية = «المرفق _19845" aligncenter «العرض = «1021"]Threat actor’s post on the cybercrime forum مشاركة ممثل التهديد في منتدى الجرائم الإلكترونية [/caption]

التحليل والإسناد

معلومات من منتدى الجرائم الإلكترونية

  • في 07 مايو 2022، نشر أحد ممثلي التهديد منشورًا على منتدى الجرائم الإلكترونية يصف قصة اختراق شركة كبيرة من خلال استغلال ثغرة أمنية في لوحة معلومات Jenkins.
  • من المثير للاهتمام ملاحظة أن نفس ممثل التهديد قد شوهد سابقًا وهو يوفر الوصول إلى IBM.
  • أثبت الممثل أيضًا لقطة شاشة نموذجية كدليل على وصوله المزعوم إلى لوحة معلومات Jenkins.
[معرف التسمية التوضيحية = «المرفق _19846" aligncenter «العرض ="446"]Sample shared by the threat actor while describing his TTP عينة تمت مشاركتها من قبل ممثل التهديد أثناء وصف TTP الخاص به [/caption]

TTPs (التكتيكات والتقنيات والإجراءات)

  • واجه ممثل التهديد تجاوزًا للوحة معلومات Jenkins يحتوي على مضيفين داخليين ونصوص برمجية إلى جانب بيانات اعتماد قاعدة البيانات وعمليات تسجيل الدخول.
  • استخدم الممثل محركات البحث مثل Shodan لاستهداف المنفذ 9443 من الأصول العامة للشركة المعرضة للخطر.
  • بعد الحصول على النتائج، استخدم الممثل نصًا خاصًا للتشويش للحصول على حالات ضعيفة لاستغلال تجاوز التكوين الخاطئ لـ rproxy.
  • في مشاركاتهم اللاحقة، ذكر الممثل أيضًا قصة الاستغلال التالية حول الوصول إلى جامعة ستانفورد:
    • استخدم الممثل أداة سودومي لتعداد جميع النطاقات الفرعية المتعلقة بالجامعة.
    • ثم استخدم الممثل https تزويد المجالات بمسار مثل -path /wp-content/plugins/.
    • يؤدي استغلال يوم الصفر الضعيف في المكون الإضافي أعلاه إلى إرجاع البيانات من جميع النطاقات الفرعية التي لها مسار صالح مع يوم الصفر، والذي يسمح بعد ذلك للمهاجم بتنفيذ RCE عليه.

ممثل التهديد

  • قام الممثل بالنشر بنشاط حول عمليات الاستغلال والوصول المختلفة في منتدى الجرائم الإلكترونية. عدد قليل من الكيانات المستهدفة من قبلهم تشمل:
  1. وصول الشبكة إلى شركة آي بي إم للتكنولوجيا، بما في ذلك البرامج النصية للمسؤولين الداخليين وتكوينات جدار الحماية للشبكة الداخلية. تضمنت المعلومات التالية:
    1. بيانات مستخدمي Active Directory
    2. بيانات اعتماد تسجيل الدخول إلى SMTP
    3. بيانات اعتماد تسجيل الدخول الداخلية لـ RDP
    4. الوصول إلى قاعدتي بيانات
    5. قاعدة بيانات AWS المستندة إلى RDS
    6. 1 الوصول إلى لوحة معلومات Log4j
    7. 1 الوصول إلى لوحة معلومات RCE
    8. 1 الوصول إلى لوحة تحكم ووردبريس.
  2. جامعة جوزيف سفاريك، سلوفاكيا.
  3. تأتي عمليات الوصول الحكومية للنطاقات من بلدان متعددة بما في ذلك:
    1. أوكرانيا
    2. الإمارات العربية المتحدة
    3. باكستان
    4. نيبال
    5. بوتان
    6. كينيا
    7. سيريلانكا
    8. إندونيسيا

تصنيف المصدر

  • الممثل نشط للغاية في منتدى الجرائم الإلكترونية.
  • قد تكون المنشورات التي شاركها الممثل صحيحة، ولكن لا يوجد دليل على عمليات الاستغلال.
ومن ثم،
  • يمكن تقييم موثوقية الممثل لا يمكن الاعتماد عليها عادة (D).
  • يمكن تقييم مصداقية الإعلان مشكوك فيه (4).
  • إعطاء مصداقية المصدر الشاملة لـ D4.

التأثير والتخفيف

التأثيرالتخفيف
  • يمكن للآخرين استخدام TTPs التي يستخدمها ممثل التهديد لإجراء عمليات استغلال مماثلة.
  • يمكن لوحدات مثل هذه تمكين هجمات برامج الفدية المستمرة والمعقدة.
  • قد تتحرك الجهات الفاعلة في مجال التهديد أفقيًا، مما يؤدي إلى إصابة الشبكة، للحفاظ على الثبات وسرقة بيانات الاعتماد.
  • نظرًا لأن إعادة استخدام كلمة المرور هي ممارسة شائعة، يمكن للجهات الفاعلة الاستفادة من بيانات الاعتماد المكشوفة للوصول إلى حسابات أخرى للمستخدم.
  • قم بتصحيح البرامج إلى أحدث إصداراتها أو قم بتنفيذها باستخدام حل بديل.
  • قم بمراجعة ومراقبة الحالات الشاذة في شبكات الأجهزة التي تعتبر مؤشرات للتسوية المحتملة.
  • استخدم MFA (المصادقة متعددة العوامل) عبر جميع عمليات تسجيل الدخول.

المراجع

الملحق

[معرف التسمية التوضيحية = «المرفق _19847" aligncenter «العرض ="1033"]Another post made by threat actor selling RCE on web server targeting government entities from Ukraine, UAE, Thailand, Pakistan, Indonesia, and others. منشور آخر نشره ممثل التهديد الذي يبيع RCE على خادم الويب يستهدف الكيانات الحكومية من أوكرانيا والإمارات العربية المتحدة وتايلاند وباكستان وإندونيسيا وغيرها. [/التسمية التوضيحية]
CloudSek Platform عبارة عن منصة خالية من التعليمات البرمجية تعمل على تشغيل منتجاتنا بقدرات تحليلية تنبؤية للتهديدات.
المشاركات الأخيرة

المقالات الأخيرة

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

احصل على معلومات التهديدات العالمية في الوقت الفعلي

قم بحماية عملك من التهديدات الإلكترونية باستخدام بيانات معلومات التهديدات العالمية في الوقت الفعلي.. تجربة مجانية لمدة 30 يومًا وبدون التزام.
جدولة عرض تجريبي
بيانات معلومات التهديدات في الوقت الحقيقي
مزيد من المعلومات والسياق حول الدردشة تحت الأرض
خدمات البحث حسب الطلب
نموذج لوحة القيادة
موجز معلومات التهديدات العالمية

قم بالحماية والمضي قدمًا الذكاء القابل للتنفيذ

إن Global Cyber Threat Intelligence Feed عبارة عن منصة مبتكرة تجمع المعلومات من مصادر مختلفة لمساعدة الشركات والمؤسسات على البقاء في صدارة الهجمات الإلكترونية المحتملة. توفر هذه الخلاصة تحديثات في الوقت الفعلي للتهديدات الإلكترونية، بما في ذلك البرامج الضارة وعمليات الاحتيال الاحتيالي وغيرها من أشكال الجرائم الإلكترونية.
موثوق بها من قبل أكثر من 400 مؤسسة رائدة
ابدأ
تعرف على المزيد