🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
Home
Threat Intelligence Posts
استخبارات الخصم

تم اختراق إنترانت أوبر عبر الهندسة الاجتماعية

اكتشفت CloudSek DRP جهة تهديد تدعي أنها اخترقت أوبر، مزود خدمة التنقل الأمريكي. لإثبات شرعية الادعاءات، قام الممثل بنشر رسائل غير مصرح بها على صفحة HackerOne الخاصة بالشركة.
Updated on
August 19, 2025
Published on
September 21, 2022
Read MINUTES
5
Subscribe to the latest industry news, threats and resources.
الفئة: استخبارات الخصمالصناعة: خدمات الأعمالالمنطقة: عالميمصدر*: C2

ملخص تنفيذي

تهديدتأثير
  • تم اختراق خدمة أمازون ويب وDuo وGSuite وغيرها من المنصات من أوبر.
  • تسرب الوصول إلى الشبكة الداخلية (إنترانت) *.uberinternal.
  • تم استخدام الهندسة الاجتماعية كناقل هجوم أولي.
  • تشويش رمز التطبيق.
  • تسرب المعلومات الحساسة والهامة.
  • عمليات الاستحواذ المتعددة على الحسابات.
  • قم بتزويد الجهات الفاعلة الضارة بالتفاصيل لإطلاق هجمات برامج الفدية المعقدة، واستخراج البيانات، والحفاظ على الثبات.

التحليل والإسناد

معلومات من المصدر المفتوح

  • في 16 سبتمبر 2022، كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشفت جهة تهديد تدعي أنها اخترقت أوبر، مزود خدمة التنقل الأمريكي.
  • أكدت أوبر الادعاءات المذكورة أعلاه واستجابت للحادث بالقول إنها على اتصال بوكالات إنفاذ القانون.
  • تمكن ممثل التهديد من اختراق حساب HackerOne الخاص بالموظف للوصول إلى تقارير الثغرات الأمنية المرتبطة بـ Uber.
  • لإثبات شرعية الادعاءات، قام الممثل بنشر رسائل غير مصرح بها على صفحة HackerOne الخاصة بالشركة.
  • علاوة على ذلك، شارك المهاجم أيضًا العديد من لقطات الشاشة للبيئة الداخلية لشركة Uber بما في ذلك gDrive و vCenter ومقاييس المبيعات و Slack وبوابة EDR.
[معرف التسمية التوضيحية = «المرفق 20615" align= «alignnone» width="828"]Official Tweet by the Uber Communication تغريدة رسمية من شركة أوبر للاتصالات [/caption]

معلومات من العينات

قام فريق أبحاث CloudSek بتحليل عينات اللقطات التي شاركها ممثل التهديد، والتي تضمنت الوصول إلى الأصول التالية:
  • مشرف الدومين
  • شبكة إنترانت
  • وحدة تحكم خدمة الويب من Amazon
  • وحدة تحكم غوغل كلاود بلاتفورم
  • مشرف برنامج VMware vSphere
  • لوحة تحكم مسؤول البريد الإلكتروني في GSuite (مساحة العمل)
  • تقارير HackerOne وتفاصيل أخرى
  • صفحات كونفلوينس
  • البيانات المالية
  • مستودعات كود متعددة
(لمزيد من المعلومات، راجع الملحق)

التقنيات والتكتيكات والإجراءات (TTPs)

  • الممثل الذي تم توظيفه الهندسة الاجتماعية التقنيات كناقل هجوم أولي لتهديد البنية التحتية لشركة Uber.
  • بعد الوصول إلى بيانات اعتماد متعددة، استغل الممثل وصول VPN للضحية المخترقة إلى:
    • تحويل الامتيازات وتصعيدها داخل الشبكة الداخلية
    • افحص الشبكة الداخلية (إنترانت) للوصول
  • بعد ذلك، تمكن الممثل من الوصول إلى شبكة داخلية (إنترانت) *.corp.uber.com حيث تمكن الممثل من الوصول إلى دليل، بشكل معقول باسم »شارك»، والتي زودت الممثل بالعديد من نصوص PowerShell التي تحتوي على بيانات اعتماد المسؤول لنظام إدارة الوصول إلى الامتيازات (Thycotic).
  • وقد مكّن ذلك الممثل من الوصول الكامل إلى خدمات متعددة للكيان مثل Uber Duo و OneLogin و AWS و Gsuite Workspace وما إلى ذلك.
[معرف التسمية التوضيحية = «المرفق 20616" align= «alignnone» width="789"]Pictorial Representation of threat actor’s TTPs for compromising Uber تمثيل تصويري لـ TTPs الخاصة بممثل التهديد لتهديد أوبر [/caption]

التأثير والتخفيف

التأثيرالتخفيف
  • تشويش رمز التطبيق، مما يعيق قابلية استخدام التطبيق.
  • يمكن أن تؤدي بيانات الاعتماد المسربة والوصول إلى تسهيل عمليات الاستحواذ المتعددة على الحسابات.
  • تسريب المعلومات الحساسة والهامة للكيان.
  • سيزود الجهات الفاعلة الخبيثة بالتفاصيل المطلوبة لشن هجمات برامج الفدية المعقدة، واستخراج البيانات، والحفاظ على الثبات.
  • الإضرار بسمعة أوبر.
  • تدريب الموظفين ضد هجمات وتقنيات الهندسة الاجتماعية.
  • قم بتطبيق سياسة كلمة مرور قوية وتمكين MFA عبر عمليات تسجيل الدخول.
  • قم بإنشاء مستخدمين ومجموعات متخصصة مع الحد الأدنى من الامتيازات.
  • أغلق المنافذ غير المستخدمة وقم بتقييد الوصول إلى الملفات.
  • قم بتصحيح نقاط النهاية الضعيفة والقابلة للاستغلال.
  • لا تشارك أسرارك غير المشفرة في أنظمة المراسلة مثل Slack أو WhatsApp.
  • راقب الحالات الشاذة في حسابات المستخدمين، والتي قد تشير إلى عمليات استحواذ محتملة للحساب.
  • قم بمسح المستودعات لتحديد بيانات الاعتماد والأسرار المكشوفة.

المراجع

الملحق

[معرف التسمية التوضيحية = «المرفق _20617" align= «alignnone» width="1280"]Sample screenshot shared by the actor depicting VSphere VM workstation with *corp.uber.com access نموذج لقطة شاشة شاركها الممثل الذي يصور محطة عمل vSphere VM مع الوصول إلى *corp.uber.com [/caption] [معرف التسمية التوضيحية = «المرفق 20618" align= «alignnone» width="1294"]Threat actor’s message on the company's Slack Channel with hashtag “uberunderpaisdrives” رسالة ممثل التهديد على قناة سلاك التابعة للشركة مع هاشتاغ «uberunderpaisdrives» [/caption] [معرف التسمية التوضيحية = «المرفق 20619" align= «alignnone» width="1383"]Threat actor’s comment using the HackerOne account. تعليق ممثل التهديد باستخدام حساب HackerOne. [/التسمية التوضيحية] [معرف التسمية التوضيحية = «المرفق _20620" align= «alignnone» width="739"]The alleged actor revealing the TTP of the attack الفاعل المزعوم الذي يكشف عن TTP للهجوم [/caption]
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Recent Posts

Recent Articles

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
جدولة عرض تجريبي
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations
Get started
Learn more