تقرير استباقي – Threat Intelligence Report
ملخص تنفيذي
التقرير الاستباقي رقم (442-43):
وردت تقارير استباقية من احد الشركات المتخصصة تفيد بوجود ثغرة على احد الانظمة التابعة لكم، وتبين ان الثغرة المرصودة تحمل رقم CVE-2023-0000 هي ثغرة تم تصنيفها بتصنيف حرج جداً، حيث تمكن الثغرة المهاجم من التحكم والسيطرة بالنظام المتأثر بالثغرة.
التفاصيل
رصدنا معلومات تفيد بوجود ثغرة حرجة جداً على احد الاصول التقنيه الخاصه بكم، والتي تسمح للمهاجم بالتحكم والسيطرة على الانظمة المتأثرة بتلك الثغرة، واثناء جمع المعلومات الاستباقية تبين ان مجموعة الهجوم التي تحمل اسم (APTX,APTY,APTZ) تقوم باعمال مسح نشط بحثاً عن تلك الثغرة.
| النظام | انظمة الوصول عن بعد الافتراضية |
| الثغرة | CVE-2023-0000 |
| الخطورة | حرج جداً 9.8 CVSS |
| نوع الاستغلال | عن بعد |
| المعرف المصاب | 100.100.100.100 |
| مجموعات الهجوم | APT X , APT Y, APTZ |
نمذجة التهديدات السيبرانية
 |
التقرير – مجموعة الهجوم APT X
شرح عن المجموعة:
تعرف مجموعة الهجوم APTX بأعمال التجسس وسرقة المعلومات الحساسة والتي هي عادة تستهدف القطاعات الحكومية والعسكرية والاتصالات والشركات الدفاعية.
أسلوب الهجوم:
عادة ما تقوم مجموعة الهجوم بالاستهداف في مراحلها الأولية باستخدام البريد التصيدي والذي عادة ما يكون محمل ببرمجيات ضارة والتي تهدف الى التحكم والسيطرة بالأنظمة المستهدفة، ومن المتعارف على ان المهاجمين في مجموعة APTX قيامهم بالتخفي داخل الأنظمة المستهدفة، وكما يقوم المهاجم في المرحلة الأخيرة بتسريب البيانات
البرمجيات الضارة:
برمجية Mon Star
مؤشرات الاختراق:
| الاسم | مؤشرات الاختراق | النوع |
| Mon Star.exe | c0202cf6aeab8437c638533d14563d35 | برمجية ضارة |
| Sniper.ps1 | 087951566fb77fe74909d4e4828dd4cb | سرقة كلمات المرور |
| Powerscan.dll | 8aacf26df235661245e98cb60e820f51 | تصعيد الصلاحيات |
| Cv software.exe | 2d9a3315b9ff59d1db0b7cc4624a2c87 | التحكم والسيطرة |
التقرير – مجموعة الهجوم APT Y
شرح عن المجموعة:
تعرف مجموعة الهجوم APTY بأعمال سرقة المعلومات التجارية والتي هي عادة تستهدف القطاعات الشركات والجامعات ومراكز الابحاث والاتصالات.
أسلوب الهجوم:
عادة ما تقوم مجموعة الهجوم بالاستهداف في مراحلها الأولية باستخدام البريد التصيدي والذي عادة بداخله رابط ضار يستخدمه المهاجم لسرقة الحسابات والتي من خلالها يقوم بتسريب محتوى البريد الالكتروني وكذلك محاولة انتحال الشخص المستهدف لسرقة حسابات أخرى داخل او خارج المنظمة.
الروابط الضارة:
انتحال الموقع الخاص بالضحية
مؤشرات الاختراق:
| الاسم | مؤشرات الاختراق | النوع |
| نطاق | www[.]example-gov.-sa.com | موقع انتحالي |
| نطاق | email[.]example-gov.-sa.com | موقع انتحالي لسرقة كلمات المرور |
| نطاق | vpn[.]example-gov.-sa.com | موقع انتحالي لسرقة كلمات المرور |
| نطاق | airwatch[.]example-gov.-sa.com | موقع انتحالي لسرقة كلمات المرور |
التقرير – مجموعة الهجوم APT Y
شرح عن المجموعة:
تعرف مجموعة الهجوم APTZ بأعمال تدميرية للبنية التحتية التي تستهدفها والتي هي عادة تستهدف المنظمات الحكومية والصحة والتعليم والطاقة والعسكرية والشركات الكبرى.
أسلوب الهجوم:
عادة ما تقوم مجموعة الهجوم بالاستهداف في مراحلها الأولية من خلال استغلال الثغرات للأنظمة المتصلة بالإنترنت فقد تم رصد العديد من المحاولات لتلك المجموعة من محاولة استغلال سابقة لثغرات البريد الالكتروني وكذلك خوادم مشاركة الملفات المتصلة بالإنترنت والعديد من عمليات الاستغلال الأخرى المرتبطة بالأنظمة المتصلة بالأنترنت.
البرمجية الضارة:
برمجية Wipz.exe
مؤشرات الاختراق:
| الاسم | مؤشرات الاختراق | النوع |
| Wipz.exe | e4a88768c1a06d20f0cc688e5d0befe8 | برمجية تدميرية |
| Port scanner.exe | 13f998379288f3c92c0d6cda66c701bc | فحص المنافذ |
| Priveec.ps1 | 66f534535b1647618f805f2aaca84fce | تصعيد الصلاحيات |
التوصيات
| • تحديث المنتج المتأثر بشكل عاجل | • المراقبة المستمرة لعمليات الوصول عن بعد لخدمة الاتصال الافتراضي VPN. |
| • إيقاف صلاحيات الاتصال عن بعد حتى معالجة الثغرة | • مراجعة الحسابات التي تم انشاءها مؤخرًا على النظام، وتعطيل الغير مستخدم منها |