ITProgrammers

قالت شركة chaebol Samsung الكورية الجنوبية يوم الجمعة إنها تعرضت لحادث يتعلق بالأمن السيبراني أدى إلى الوصول غير المصرح به إلى بعض معلومات العملاء ، وهي المرة الثانية هذا العام التي تبلغ فيها عن مثل هذا الخرق.

كشفت الشركة في إشعار: "في أواخر تموز (يوليو) 2022 ، حصل طرف ثالث غير مصرح به على معلومات من بعض أنظمة Samsung في الولايات المتحدة". "في 4 أغسطس 2022 أو تقريبًا ، قررنا من خلال تحقيقنا المستمر أن المعلومات الشخصية لبعض العملاء قد تأثرت."

وقالت سامسونج إن التسلل مكّن المتسللين من الوصول إلى بيانات معينة مثل الأسماء ومعلومات الاتصال والمعلومات الديموغرافية وتواريخ الميلاد وتفاصيل تسجيل المنتج.

وشددت على أن الحادث لم يؤثر على أرقام الضمان الاجتماعي للمستخدمين أو أرقام بطاقات الائتمان والخصم ، لكنه أشار إلى أن المعلومات المسربة لكل عميل ذي صلة قد تختلف.

وأضافت أن المعلومات التي تم جمعها ضرورية لمساعدة الشركة على تقديم أفضل تجربة لمنتجاتها وخدماتها. من غير الواضح عدد العملاء المتأثرين أو من كان وراء الاختراق ، ولماذا استغرق الأمر ما يقرب من شهر حتى تكشف الشركة عن الاختراق.

بصرف النظر عن إخطار المستخدمين بالحدث الأمني ​​، صرحت Samsung بأنها اتخذت خطوات لتأمين الأنظمة المتأثرة وأشركت شركة خارجية للأمن السيبراني لقيادة جهود الاستجابة.

علاوة على ذلك ، فإنه يحث المستخدمين على توخي الحذر من محاولات الهندسة الاجتماعية المحتملة ، وتجنب النقر فوق الروابط أو فتح المرفقات من مرسلين غير معروفين ، ومراجعة حساباتهم بحثًا عن أي نشاط مشبوه.

يأتي هذا الإعلان بعد أقل من ستة أشهر من تأكيد سامسونج وقوع حادث مماثل. في مارس 2022 ، كشفت أن البيانات الداخلية ، بما في ذلك كود المصدر المتعلق بهواتف Galaxy الذكية ، تم تسريبها في أعقاب هجوم شنته عصابة الابتزاز بالدولار الأمريكي LAPSUS.

تم تعقب ممثل التهديد المستمر الصيني (APT) حيث استهدف Winnti ما لا يقل عن 13 منظمة جغرافية تمتد عبر الولايات المتحدة وتايوان والهند وفيتنام والصين على خلفية أربع حملات مختلفة في عام 2021.

وقالت شركة Group-IB للأمن السيبراني في تقرير مشترك مع The Hacker News: "تشمل الصناعات المستهدفة القطاع العام والتصنيع والرعاية الصحية والخدمات اللوجستية والضيافة والتعليم بالإضافة إلى وسائل الإعلام والطيران".

وشمل ذلك أيضًا الهجوم على طيران الهند الذي ظهر في يونيو 2021 كجزء من حملة أطلق عليها اسم ColunmTK. تم تخصيص الحملات الثلاث الأخرى للألقاب DelayLinkTK و Mute-Pond و Gentle-Voice استنادًا إلى أسماء المجالات المستخدمة في الهجمات.

APT41 ، المعروفة أيضًا باسم Barium أو Bronze Atlas أو Double Dragon أو Wicked Panda أو Winnti ، هي مجموعة تهديدات إلكترونية صينية غزيرة الإنتاج معروفة بتنفيذ نشاط تجسس برعاية الدولة بالتوازي مع عمليات ذات دوافع مالية منذ عام 2007 على الأقل.

قراصنة APT41
وصف عام 2021 بأنه "عام مكثف لـ APT41" ، تضمنت الهجمات التي شنها الخصم بشكل أساسي الاستفادة من حقن SQL على المجالات المستهدفة كموجه وصول أولي لاختراق شبكات الضحايا ، متبوعًا بتسليم منارة Cobalt Strike مخصصة على نقاط النهاية.

ولكن في نهج غير معتاد إلى حد ما ، تم تحميل Cobalt Strike Beacon في أجزاء أصغر من سلاسل مشفرة Base64 كتكتيك تشويش للطيران تحت الرادار ، قبل كتابة الحمولة الكاملة إلى ملف على المضيف المصاب.

قال الباحثون: "عادة ما يستخدم أعضاء APT41 التصيد الاحتيالي ، ويستغلون نقاط الضعف المختلفة (بما في ذلك Proxylogon) ، ويقومون بهجمات ثقب المياه أو سلسلة التوريد لتعريض ضحاياهم للخطر في البداية".

تراوحت الإجراءات الأخرى التي تم تنفيذها بعد الاستغلال من إثبات المثابرة إلى سرقة بيانات الاعتماد وإجراء الاستطلاع من خلال تقنيات العيش خارج الأرض (LotL) لجمع المعلومات حول البيئة المعرضة للخطر والتحرك بشكل جانبي عبر الشبكة.

قالت الشركة التي تتخذ من سنغافورة مقراً لها إنها حددت 106 خوادم فريدة من نوعها من نوع Cobalt Strike تم استخدامها حصريًا بواسطة APT41 بين أوائل عام 2020 وأواخر عام 2021 للقيادة والسيطرة. معظم الخوادم لم تعد نشطة.

تشير النتائج إلى استمرار إساءة استخدام إطار محاكاة الخصم الشرعي من قبل جهات تهديد مختلفة للأنشطة الخبيثة بعد الاقتحام.

قال نيكيتا روستوفتسيف ، محلل تهديدات Group-IB Threat Analyst ، نيكيتا روستوفتسيف: "في الماضي ، كانت الأداة موضع تقدير من قبل عصابات مجرمي الإنترنت التي تستهدف البنوك ، بينما تحظى اليوم بشعبية بين مختلف الجهات الفاعلة في مجال التهديد بغض النظر عن دوافعهم ، بما في ذلك مشغلي برامج الفدية سيئة السمعة".

كشف موقع Twitter يوم الجمعة أنه تم استخدام خطأ يوم الصفر الذي تم تصحيحه الآن لربط أرقام الهواتف ورسائل البريد الإلكتروني بحسابات المستخدمين على منصة التواصل الاجتماعي.

وقالت الشركة في بيان: "نتيجة للثغرة الأمنية ، إذا أرسل شخص ما عنوان بريد إلكتروني أو رقم هاتف إلى أنظمة تويتر ، فإن أنظمة تويتر ستخبر الشخص بحساب Twitter الذي تم ربط عناوين البريد الإلكتروني أو رقم الهاتف به ، إن وجدت". استشاري.

قال موقع Twitter إن الخطأ ، الذي تم إبلاغه به في يناير 2022 ، ناجم عن تغيير رمز تم إدخاله في يونيو 2021. ولم يتم الكشف عن كلمات مرور نتيجة للحادث.

ينبع التأخير لمدة ستة أشهر في الإعلان عن هذا الأمر من دليل جديد الشهر الماضي على أن ممثلًا غير معروف قد استغل الخلل قبل الإصلاح لكشط معلومات المستخدم وبيعها من أجل الربح في منتديات الخرق.

على الرغم من أن Twitter لم يكشف عن العدد الدقيق للمستخدمين المتأثرين ، فإن منشور المنتدى الذي نشره ممثل التهديد يُظهر أن الخلل قد تم استغلاله على الأرجح لتجميع قائمة تحتوي على ما يُزعم أنه أكثر من 5.48 مليون ملف تعريف حساب مستخدم.

وقالت شركة Restore Privacy ، التي كشفت عن الانتهاك أواخر الشهر الماضي ، إن قاعدة البيانات بيعت مقابل 30 ألف دولار.

صرّح موقع Twitter أنه بصدد إخطار مالكي الحسابات المتأثرين بالمشكلة مباشرةً ، مع حث المستخدمين أيضًا على تشغيل المصادقة الثنائية للتأمين ضد عمليات تسجيل الدخول غير المصرح بها.

يأتي هذا التطور في الوقت الذي وافق فيه تويتر ، في مايو ، على دفع غرامة قدرها 150 مليون دولار لتسوية شكوى من وزارة العدل الأمريكية زعمت أن الشركة بين عامي 2014 و 2019 استخدمت أصحاب حسابات المعلومات المقدمة للتحقق الأمني ​​لأغراض الدعاية دون موافقتهم.

أعلنت وزارة الخارجية الأمريكية يوم الخميس عن مكافأة قدرها 10 ملايين دولار مقابل معلومات تتعلق بخمسة أفراد مرتبطين بمجموعة Conti ransomware.

عرض المكافأة ، الذي أبلغت عنه WIRED لأول مرة ، ملحوظ أيضًا لأنه يمثل المرة الأولى التي يتم فيها الكشف عن وجه أحد شركاء Conti ، المعروف باسم "Target". تمت الإشارة إلى المساعدين الأربعة الآخرين باسم "الصعلوك" و "دانديس" و "الأستاذ" و "ريشايف".

إلى جانب البحث عن معلومات حول المشغلين الخمسة الذين يمكن أن تؤدي إلى تحديد هويتهم أو تحديد موقعهم ، تدعو الحكومة أيضًا الأشخاص إلى مشاركة تفاصيل حول شركة Conti والمجموعات التابعة لها TrickBot و Wizard Spider.

منذ تغيير علامتها التجارية من Ryuk إلى Conti ، تم ربط مجموعة الجريمة المنظمة العابرة للحدود الوطنية بمئات حوادث برامج الفدية على مدار العامين الماضيين.

اعتبارًا من كانون الثاني (يناير) 2022 ، يُقدر أن عملية Ransomware-as-a-service (RaaS) التي تتخذ من روسيا مقراً لها قد وصلت إلى أكثر من 1000 كيان ، حيث تجاوزت مدفوعات الضحايا 150 مليون دولار. أطلقت وزارة الخارجية الأمريكية على كونتي لقب "أكثر سلالة تم توثيقها من برامج الفدية الضارة على الإطلاق".

سلط تحليل للدردشات المسربة بين أعضاء كونتي في مارس 2022 والذي ظهر بعد انحياز النقابة لروسيا في الصراع المستمر بين البلاد وأوكرانيا ، الضوء على دور تارجت كمدير مشارك في عملياتها المادية في روسيا.

أشار باحثو Trellix في مارس 2022 إلى أن "التسريبات وصلت إلى مستوى غير مسبوق وتُظهر للعالم كيف تعمل عصابة فدية مدعومة من الحكومة بملايين الدولارات".

"بطريقة ما كان الأمر أشبه بعمل عادي تقريبًا ؛ يجب دفع الأجور ، والحصول على تراخيص البرمجيات ، وبدء خدمة العملاء ، وتشكيل تحالفات استراتيجية."

على الرغم من إنهاء علامة Conti التجارية ، إلا أن أعضائها لا يزالون نشطين ، ويواصلون عملهم من خلال عمليات ابتزاز وابتزاز بيانات أخرى في إطار فروع مختلفة ، بما في ذلك Karakurt و Silent Ransom و Quantum و Roy / Zeon.

يأتي التطوير أيضًا بعد أكثر من ثلاثة أشهر بقليل من إعلان الوكالة أنها تقدم مكافأة تصل إلى 10 ملايين دولار للحصول على معلومات تؤدي إلى تحديد و / أو موقع الأفراد الذين يشغلون مناصب قيادية رئيسية في فريق كونتي.

هواتف Xiaomi المزودة بشرائح MediaTek معرضة لمدفوعات مزورة

هواتف شاومي
تم تحديد عيوب أمنية في طرازي Xiaomi Redmi Note 9T و Redmi Note 11 ، والتي يمكن استغلالها لتعطيل آلية الدفع عبر الهاتف المحمول وحتى إجراء معاملات عبر تطبيق Android مخادع مثبت على الأجهزة.

قالت Check Point إنها وجدت عيوبًا في الأجهزة التي تعمل بشرائح MediaTek أثناء تحليل أمني لبيئة التنفيذ الموثوقة (Kinibi) الخاصة بصانع الهاتف الصيني (TEE).

يشير TEE إلى منطقة آمنة داخل المعالج الرئيسي تستخدم لمعالجة وتخزين المعلومات الحساسة مثل مفاتيح التشفير وذلك لضمان السرية والنزاهة.

على وجه التحديد ، اكتشفت شركة الأمن السيبراني الإسرائيلية أنه يمكن تخفيض أحد التطبيقات الموثوقة على جهاز Xiaomi بسبب نقص التحكم في الإصدار ، مما يمكّن المهاجم من استبدال إصدار أحدث وآمن من التطبيق بمتغير أقدم وضعيف.

قال الباحث في Check Point Slava Makkaveev في تقرير تمت مشاركته مع The Hacker News: "لذلك ، يمكن للمهاجم تجاوز الإصلاحات الأمنية التي أجرتها Xiaomi أو MediaTek في التطبيقات الموثوقة عن طريق تخفيضها إلى إصدارات غير مصححة".

هواتف شاومي
بالإضافة إلى ذلك ، تم تحديد العديد من الثغرات الأمنية في "thhadmin" ، وهو تطبيق موثوق به مسؤول عن إدارة الأمان ، والذي يمكن أن يسيء استخدامه أحد التطبيقات الضارة لتسريب المفاتيح المخزنة أو لتنفيذ تعليمات برمجية عشوائية في سياق التطبيق.

وقال Makkaveev في بيان تمت مشاركته مع The Hacker News: "اكتشفنا مجموعة من الثغرات الأمنية التي قد تسمح بتزوير حزم الدفع أو تعطيل نظام الدفع مباشرة من تطبيق Android غير مميز".

تستهدف نقاط الضعف تطبيقًا موثوقًا طورته Xiaomi لتنفيذ عمليات التشفير المتعلقة بخدمة تسمى Tencent Soter ، وهي "معيار بيولوجي" يعمل كإطار عمل مضمن للدفع عبر الهاتف المحمول للسماح بالمعاملات على تطبيقات الطرف الثالث باستخدام WeChat و Alipay .

لكن وجود ثغرة أمنية كبيرة في التطبيق الموثوق به soter تعني أنه يمكن استغلالها للحث على رفض الخدمة من قبل تطبيق Android ليس لديه أذونات للتواصل مع TEE مباشرة.

هذا ليس كل شئ. من خلال ربط هجوم الرجوع إلى إصدار أقدم المذكور أعلاه لاستبدال تطبيق soter الموثوق به بإصدار أقدم يحتوي على ثغرة قراءة عشوائية ، وجدت Check Point أنه من الممكن استخراج المفاتيح الخاصة المستخدمة لتوقيع حزم الدفع.

وأشارت الشركة إلى أن "الثغرة [...] تهدد منصة تينسنت بالكامل ، مما يسمح لمستخدم غير مصرح له بالتوقيع على حزم دفع مزيفة".

قامت Xiaomi ، بعد الإفصاح المسؤول ، بطرح تصحيحات لمعالجة CVE-2020-14125 في 6 يونيو 2022. "يتم إصلاح مشكلة الرجوع إلى إصدار أقدم ، والتي تم تأكيدها من قِبل Xiaomi على أنها تنتمي إلى بائع تابع لجهة خارجية ،" Check Point مضاف.

تم الكشف عن ثغرة أمنية في تجاوز ميزة الأمان في ثلاثة برامج تحميل موقعة من طرف ثالث لواجهة البرامج الثابتة القابلة للتوسيع (UEFI) والتي تسمح بتجاوز ميزة التمهيد الآمن لـ UEFI.

قالت شركة أمن الأجهزة Eclypsium في تقرير تمت مشاركته مع The أخبار القراصنة.

تم العثور على برامج تحميل التمهيد التالية الخاصة بالبائع ، والتي تم توقيعها والمصادقة عليها من قبل Microsoft ، عرضة للتجاوز وتم تصحيحها كجزء من تحديث يوم الثلاثاء من عملاق التكنولوجيا الذي تم إصداره هذا الأسبوع -

يوروسوفت لودر التمهيد (CVE-2022-34301)
أداة تحميل التمهيد لشركة New Horizon Data Systems Inc (CVE-2022-34302) ، و
Crypto Pro Boot Loader (CVE-20220-34303)
التمهيد الآمن هو معيار أمان مصمم لإحباط تحميل البرامج الضارة عند بدء تشغيل الكمبيوتر (التمهيد) والتأكد من تشغيل البرنامج الموثوق به فقط من قبل الشركة المصنعة للمعدات الأصلية (OEM).

التمهيد لوادر
بعبارة أخرى ، يمكن أن يسمح الاستغلال الناجح للعيوب للخصم بالتحايل على حواجز الأمان عند بدء التشغيل وتنفيذ تعليمات برمجية عشوائية غير موقعة أثناء عملية التمهيد.

يمكن أن يكون لهذا المزيد من التأثيرات غير المباشرة ، مما يمكّن الفاعل السيئ من الحصول على وصول راسخ وإثبات المثابرة على مضيف من خلال طريقة يمكن أن تنجو من عمليات إعادة تثبيت نظام التشغيل واستبدال محرك الأقراص الثابتة ، ناهيك عن تجاوز الاكتشاف تمامًا بواسطة برامج الأمان.

واصفًا CVE-2022-34302 بأنه "أكثر تخفيًا" ، أشار Eclypsium إلى أن ثغرة New Horizon Datasys ليست سهلة الاستغلال في البرية فحسب ، بل يمكنها أيضًا "تمكين عمليات تهرب أكثر تعقيدًا مثل تعطيل معالجات الأمان".

قال باحثا Eclypsium ميكي شكاتوف وجيسي مايكل إن معالجات الأمان ، على سبيل المثال ، يمكن أن تشمل قياسات وحدة النظام الأساسي الموثوق (TPM) وفحوصات التوقيع.

تجدر الإشارة إلى أن استغلال هذه الثغرات الأمنية يتطلب أن يمتلك المهاجم امتيازات المسؤول ، على الرغم من أن الحصول على تصعيد الامتياز المحلي ليس بالأمر المستحيل.

وخلص الباحثون إلى أن "هذه الثغرات الأمنية ، مثل BootHole ، تسلط الضوء على التحديات التي تواجه ضمان سلامة تمهيد الأجهزة التي تعتمد على سلسلة توريد معقدة من البائعين والرمز الذي يعمل معًا" ، مضيفين "هذه المشكلات تسلط الضوء على مدى قدرة الثغرات الأمنية البسيطة في التعليمات البرمجية الخاصة بطرف ثالث عمومية العملية برمتها ".