الأمن السيبراني
#قراصنة_مرتبطون_بالصين
#ثغرة_Sitecore
قراصنة مرتبطون بالصين يستغلون ثغرة Sitecore للوصول الأولي
في الآونة الأخيرة، تم رصد مجموعة من القراصنة المتقدمين، المعروفة باسم UAT-8837، والتي يُعتقد أنها مرتبطة بالصين، تركز على أنظمة البنية التحتية الحيوية في أمريكا الشمالية. تمكنت هذه المجموعة من الوصول عن طريق استغلال ثغرات معروفة وثغرات جديدة لم يتم اكتشافها بعد.
استغلال الثغرات للوصول إلى الأنظمة
تعتبر مجموعة القراصنة هذه نشطة منذ عام 2025 على الأقل، وهدفها الرئيسي يبدو أنه الحصول على الوصول الأولي للمنظمات المستهدفة، وفقًا لتقرير باحثي Cisco Talos.
في تقرير سابق، أشار الباحثون إلى وجود مجموعة أخرى مرتبطة بالصين تُعرف باسم UAT-7290، والتي نشطت منذ عام 2022، وتكلف أيضًا بالحصول على الوصول، ولكنها متورطة أيضًا في أنشطة تجسسية.
تبدأ هجمات UAT-8837 عادةً من خلال استغلال بيانات اعتماد مخترقة أو استغلال ثغرات في الخوادم.
في حادثة حديثة، استغل المهاجم ثغرة CVE-2025-53690، وهي ثغرة جديدة في منتجات Sitecore، مما قد يشير إلى الوصول إلى مشكلات أمنية غير معلنة.
أدوات وتقنيات الهجوم
تستخدم UAT-8837 بشكل أساسي أدوات مفتوحة المصدر ووسائل للعيش عن الأرض، مع تغيير المتغيرات باستمرار لتفادي الكشف. تشمل بعض الأدوات التي تم تسليط الضوء عليها في تقرير Cisco Talos:
- GoTokenTheft, Rubeus, Certipy – لسرقة رموز الوصول واستغلال Kerberos وجمع بيانات اعتماد Active Directory.
- SharpHound, Certipy, setspn, dsquery, dsget – لتعداد مستخدمي Active Directory والمجموعات.
- Impacket, Invoke-WMIExec, GoExec, SharpWMI – لتنفيذ الأوامر على الأنظمة البعيدة.
- Earthworm – لإنشاء أنفاق SOCKS عكسية، مما يعرض الأنظمة الداخلية للبنية التحتية التي يتحكم بها المهاجم.
- DWAgent – أداة إدارة عن بُعد للحفاظ على الوصول.
تشير الأوامر المنفذة في الهجوم إلى أن المهاجمين يستهدفون بيانات الاعتماد وتكوينات الأمان.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!