Notice: _load_textdomain_just_in_time تمّ استدعائه بشكل غير صحيح. Translation loading for the newsblogger domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. من فضلك اطلع على تنقيح الأخطاء في ووردبريس لمزيد من المعلومات. (هذه الرسالة تمّت إضافتها في النسخة 6.7.0.) in /home/alkrsan/public_html/wp-includes/functions.php on line 6114

Notice: _load_textdomain_just_in_time تمّ استدعائه بشكل غير صحيح. Translation loading for the newscrunch domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. من فضلك اطلع على تنقيح الأخطاء في ووردبريس لمزيد من المعلومات. (هذه الرسالة تمّت إضافتها في النسخة 6.7.0.) in /home/alkrsan/public_html/wp-includes/functions.php on line 6114

خطأ فى قاعدة بيانات ووردبريس: [Table 'alkrsan_d01r4.wkp_wf_sn_cf_bl_ips' doesn't exist]
SELECT tid FROM `wkp_wf_sn_cf_bl_ips` WHERE ip = '18.97.9.173'

خطأ فى قاعدة بيانات ووردبريس: [Table 'alkrsan_d01r4.wkp_wf_sn_cf_vl' doesn't exist]
SHOW FULL COLUMNS FROM `wkp_wf_sn_cf_vl`

مايكروسوفت تمنع قراصنة لبنانيين مرتبطين بإيران يستهدفون شركات إسرائيلية – شبكة القرصان

مايكروسوفت تمنع قراصنة لبنانيين مرتبطين بإيران يستهدفون شركات إسرائيلية

قالت Microsoft يوم الخميس إنها اتخذت خطوات لتعطيل النشاط الضار الناجم عن إساءة استخدام OneDrive من قبل جهة تهديد غير موثقة سابقًا تتعقبها تحت اسم Polonium الذي يحمل عنوان العنصر الكيميائي.

بالإضافة إلى إزالة الحسابات المخالفة التي أنشأتها مجموعة الأنشطة التي تتخذ من لبنان مقراً لها ، قال مركز معلومات التهديدات العملاق التكنولوجي (MSTIC) إنه علق أكثر من 20 تطبيقًا خبيثًا من OneDrive أنشأته Polonium وأنه أبلغ المنظمات المتضررة.

“تم تنسيق النشاط المرصود مع الجهات الفاعلة الأخرى التابعة لوزارة الاستخبارات والأمن الإيرانية (MOIS) ، بناءً على تداخل الضحية وتوحيد الأدوات والتقنيات” ، تم تقييم MSTIC “بثقة معتدلة”.

يُعتقد أن المجموعة العدائية قد انتهكت أكثر من 20 منظمة مقرها في إسرائيل ومنظمة حكومية دولية واحدة لها عمليات في لبنان منذ فبراير 2022.

تضمنت الأهداف ذات الأهمية كيانات في قطاعات التصنيع وتكنولوجيا المعلومات والنقل والدفاع والحكومة والزراعة والمالية والرعاية الصحية ، مع تعرض أحد مقدمي الخدمات السحابية للخطر لاستهداف شركة طيران وشركة محاماة في حالة هجوم سلسلة التوريد.

في الغالبية العظمى من الحالات ، يُعتقد أنه تم الحصول على الوصول الأولي من خلال استغلال عيب اجتياز المسار في أجهزة Fortinet ( CVE-2018-13379 ) ، وإساءة استخدامه لإسقاط غرسات PowerShell المخصصة مثل CreepySnail التي تنشئ اتصالات بأمر- و -control (C2) Server لإجراءات المتابعة.

تضمنت سلاسل الهجوم التي حملها الممثل استخدام الأدوات المخصصة التي تستفيد من الخدمات السحابية المشروعة مثل حسابات OneDrive و Dropbox لـ C2 مع ضحاياها باستخدام أدوات ضارة يطلق عليها اسم CreepyDrive و CreepyBox.

وقال الباحثون: “الغرسة توفر وظائف أساسية للسماح للممثل التهديد بتحميل الملفات المسروقة وتنزيل الملفات للتشغيل”.

ليست هذه هي المرة الأولى التي يستفيد فيها ممثلو التهديد الإيراني من الخدمات السحابية. في أكتوبر 2021 ، كشف Cybereason عن حملة هجوم شنتها مجموعة تدعى MalKamak والتي استخدمت Dropbox لاتصالات C2 في محاولة للبقاء تحت الرادار.

بالإضافة إلى ذلك ، لاحظت MSTIC أن العديد من الضحايا الذين تعرضوا للاختراق من قبل Polonium قد تم استهدافهم سابقًا من قبل مجموعة إيرانية أخرى تسمى MuddyWater (المعروفة أيضًا باسم Mercury) ، والتي وصفتها القيادة الإلكترونية الأمريكية بأنها “عنصر ثانوي” داخل وزارة الداخلية.

تداخل الضحية يعطي مصداقية للتقارير السابقة التي تفيد بأن MuddyWater هي ” تكتل ” من فرق متعددة على غرار Winnti (الصين) و Lazarus Group (كوريا الشمالية).

لمواجهة مثل هذه التهديدات ، يُنصح العملاء بتمكين المصادقة متعددة العوامل بالإضافة إلى مراجعة علاقات الشركاء ومراجعتها لتقليل أي أذونات غير ضرورية.

إرسال التعليق