29 - 03 - 2024

الكويت: اكتشاف هجمات إلكترونية جديدة تستهدف المؤسسات الكويتية

الكويت: اكتشاف هجمات إلكترونية جديدة تستهدف المؤسسات الكويتية

رصدت شركة بالو ألتو نتوركس هجمات جديدة لمجموعة إكس هانت (xHunt) تستهدف المؤسسات الكويتية.

 وقد بدأت أنشطة هذه المجموعة منذ يوليو 2018، حيث رصدت بالو ألتو نتوركس حينها محاولات لاستهداف مؤسسات حكومية في الكويت إضافة إلى شركات الشحن والنقل. إلا أن الشركة لاحظ في الآونة الأخيرة ظهور أدلة على محاولات لمجموعات الاختراق هذه للسيطرة على أنظمة خادم مايكروسوفت للبريد الإلكتروني لدى إحدى المؤسسات في الكويت. لكنها لم تتمكن من كشف الطريقة التي تمكنت مجموعات الاختراق هذه من الوصول إلى نظام الخادم للبريد الإلكتروني. إلا أنه وبالاستناد إلى السجلّات الزمنية الخاصة بالمهام المُجدولة لعملية الاختراق، فمن المرجّح أن هذه الجهات التي تقف وراء محاولات الاختراق قد نجحت في الوصول إلى خادم البريد الإلكتروني يوم 22 أغسطس 2019 أو ربما قبل ذلك. ولقد تضمنت الأنشطة التي رصدتها بالو ألتو نتوركس استغلال ثغرتين أمنيتين – إحداهما يطلق عليها اسم TriFive والأخرى واحدة من أشكال ثغرة CASHY200 والتي يطلق عليها اسم Snugy – إضافة إلى كود اختراق "ويب شل web shell" يطلق عليه اسم Bumblebee

 وتعتبر ثغرات TriFive وSnugy نصوصاّ برمجية تتيح للمخترقين الوصول إلى أنظمة خادم البريد الإلكتروني بعد أن يتم اختراقها، وذلك باستخدام قنوات سيطرة وتحكم مختلفة للتواصل مع جهات الاختراق. تعمد ثغرة TriFive إلى الاستعانة بقناة اتصال خاصة بالبريد الإلكتروني باستخدام خدمات البريد عبر الويب (EWS) بحيث تقوم بإنشاء مسوّدة رسالة بريد إلكتروني في مجلد العناصر المحذوفة ضمن حساب البريد الإلكتروني الذي يتعرض لهذا الاختراق. أما ثغرة Snugy فتعمد إلى استخدام قنوات أنفاق اختراق أنظمة خادم أسماء النطاق DNS tuneling لتشغيل عدد الأوامر على أنظمة الخادم المُخترقة. وسنقوم لتقديم لمحة عن هاتين الثغرتين الأمنيتين نظرا لاختلافهما عن باقي الأدوات التي سبق استخدامها في هذه الحملة.  

وفي سبتمبر من العام 2020، علمت شركة بالو ألتو نتوركس أن بعض محاولات الاختراق نجحت في الوصول إلى إحدى المؤسسات في الكويت. فقد احتوى نظام خادم البريد الإلكتروني لدى المؤسسة أوامر لعمليات مشبوهة يتم تنفيذها عبر الملف w3wp.exe لخدمات معلومات الإنترنت IIS. وعمدت جهات الاختراق إلى إطلاق هذه الأوامر عبر كود يطلق عليه اسم BumbleBee والذي سبق تثبيته على نظام خادم البريد الإلكتروني. وقامت بالو ألتو نتوركس بالتحقيق في كيفية تمكّن جهات الاختراق من تثبيت كود web shell على نظام خادم البريد الإلكتروني، إلا أنها لم نجد أي أثر يدل على عملية اختراق خادم البريد الإلكتروني ضمن سجلات العمليات التي تمّ جمعها. إلا أن بالو ألتو نتوركس اكتشفت وجود مهمّتين مجدولتين من قبل الجهات التي تقف خلف عمليات الاختراق هذه، ولكن قبل وقت طويل من تاريخ سجلات المهام التي حصلت الشركة عليها، 

 ولا يمكن التأكيد فيما إذا كانت جهات الاختراق قد استخدمت أيا من برامج الكود الضار هذه لتثبيت أوامر كود web shell، إلا أن من المؤكد أن هذه الجهات تمكنت من الوصول إلى أنظمة الخادم هذه في مرحلة سبقت الفترة التي توفرت لها سجلات العمليات.  

ولا تزال أنشطة حملات مجموعة إكس هانت للقرصنة مستمرة في استهدافها للمؤسسات في دولة الكويت. بل أظهرت المجموعة قدرتها على تطوير أدواتها بإضافة بعض المزايا الجديدة وقنوات التواصل المختلفة في محاولة للتخفي وتجنب اكتشافها. وكانت الثغرتان الأمنيتان على نظام خادم البريد الإلكتروني لدى المؤسسة الكويتية التي تعرضت لعملية للاختراق قد اعتمدتا على قنوات تواصل مخفيّة وذلك من أجل تنفيذ أوامر السيطرة والتحكم، وتحديدا أنفاق اختراق أنظمة خادم أسماء النطاق DNS Tuneling وقنوات تعتمد خدمة البريد الإلكتروني باستخدام مسوّدات الرسائل في مجلد العناصر المحذوفة لحساب البريد الإلكتروني المُخترق. وكانت واحدة فقط من إصدارات أداة Hisoka قد استخدمت ضمن حملات مجموعة إكس هانت للقرصنة سابقا وحاولت استغلال مسوّدات رسائل البريد الإلكتروني لحساب البريد المُخترق من أجل تنفيذ أوامر السيطرة والتحكم، فيما يشير إلى ما يبدو وكأن المجموعة بدأت في استخدام قنوات التواصل الخاصة بالبريد الإلكتروني عندما يتسنى لهم الوصول إلى نظام الخادم المُخترق الخاص بالمؤسسات التي تستهدفها هذه المحاولات. 

 






اعلان