واستغلت مجموعة من المجرمين السيبرانيين ثغرة تم تطويرها لإصدارات وبنيات مختلفة من نظام التشغيل «ويندوز»، بما في ذلك نسخة «ويندوز 11»، كما حاولت نشر برنامج الفدية «نوكوياوا»، وفقا لخبراء كاسبرسكي.

عمليات استغلال فريدة

ورداً على ذلك، قامت «مايكروسوفت» بتخصيص حزمة (CVE-2023-28252) لهذه الثغرة الأمنية،وتمكنت من تصحيحها أمس ضمن «حزمة/ تحديث الثلاثاء».

وحاولت الجهة الممثلة للتهديد أيضاً تنفيذ ترقية مماثلةلعمليات استغلال الامتياز في الهجمات على مختلف الشركات الصغيرة والمتوسطة في الشرق الأوسط وأمريكا الشمالية، ومناطق آسيوية في مرات سابقة.

ومع أن معظم الثغرات الأمنية التي اكتشفتها كاسبرسكي تستخدم التهديدات المتقدمة المستمرة (APTs)، فقد تبين أنه يتم استغلال هذه الثغرات لأغراض الجرائم الإلكترونيةمن قبل مجموعة متطورة تقوم بتنفيذ هجمات برامج الفدية.

وتبرز هذه المجموعة على مستوى نظيراتها من خلال استخدام عمليات استغلال مماثلة، ولكنها تعدّ فريدة من نوعها لاستخدامها ثغرات نظام ملفات السجل المشترك.

قطاعات تحت وطأة الاستغلال

ورصدت كاسبرسكي خمس حالات استغلال مختلفة على الأقل من هذا النوع،حيث استخدمت في هجمات استهدفت شركات لتجارة التجزئة والجملة، وأخرى تعمل في مجالات الطاقة والتصنيع والرعاية الصحية وتطوير البرمجيات وغيرها من القطاعات.

وقامت مايكروسوفت بتعيين حزمة (CVE-2023-28252) لمعالجة ثغرة «الهجوم الفوري» المكتشفة،وذلك عن طريق ترقية نظام ملفات السجل المشترك، والتغلب على نقاط الضعف الذي يتم استغلالها عن طريق العبث بنسق الملف المستخدم في النظام الفرعي.

وكشف باحثو كاسبرسكي عن تلك الثغرة الأمنية في شهر فبراير الماضي بالاعتماد على عمليات الفحص الإضافية التي أجريت على عدد من المحاولات لتنفيذ عمليات استغلال مماثلة على خوادم «مايكروسوفت ويندوز» توظفها شركات صغيرة ومتوسطة الحجم في منطقتي الشرق الأوسط وأمريكا الشمالية.

الإصدار الأحدث من برنامج الفدية نوكوياوا

وتمكنت كاسبرسكي من رصد ثغرة(CVE-2023-28252) لأول مرة في هجوم حاول فيه المجرمون نشر إصدار أحدث من برنامج الفدية «نوكوياوا». وكان الإصدار الأقدم من هذا البرنامج عبارة عن نسخة من برنامج «جيه إس وورم» JSWorm مع إعطائه اسماً جديداً، أما في الهجوم الذي تم التعرض له سابقاً، فكان نسخة من برنامج «نوكوياوا»، ولكنها مختلفة تماماً عن «جيه إس وورم» من حيث النص الكامل لشيفرة المصدر.

وتم تطوير الثغرة المستخدمة في الهجوم لدعم إصدارات وبنيات مختلفة من نظام التشغيل «ويندوز»، بما في ذلك إصدار «ويندوز 11». واستخدم المهاجمون الثغرة ذاتها لترقية الامتيازات، وسرقة بيانات الاعتماد من قاعدة بيانات مدير حساب الأمان (SAM)، وهو ملف قاعدة البيانات في نظام التشغيل «مايكروسوفت ويندوز» الذي يحتوي على أسماء المستخدمين وكلمات المرور.

تطور ثغرات الهجوم الفوري

وقال بوريس لارين، الباحث الأمني الرئيسي في فريق البحث والتحليل العالمي (GReAT) لدى كاسبرسكي، إن مجموعات الجرائم الإلكترونية تطورت إلى حد كبير، وأصبح بمقدورها استغلال ما يعرف باسم ثغرات «الهجوم الفوري» (Zero-day) في هجماتها، موضحا أن تلك الثغرات كانت في السابق عبارة عن أدوات بين أيدي ممثلي التهديدات المتقدمة المستمرة (APTs).

وأستطرد: أما الآن فقد أصبح المجرمون السيبرانيون يمتلكون الموارد اللازمة لاستغلال هذا النوع من الثغرات، واستخدامها بشكل روتيني في هجماتهم.

وأكد لارين، أن المشكلة تزداد تعقيداً من خلال الدور الذي يلعبه مطورو برمجيات الثغرات الذين يبدون استعداداً لمساعدتهم، وتطوير البرمجيات اللازمة التي يستفيدون منها بعد تنفيذ الهجمات، متابعا: وهنا يكون لزاماً على الشركات تنزيل أحدث إصدار من «مايكروسوفت» في أقرب وقت ممكن، واستخدام طرق أخرى للحماية، مثل حلول نقاط النهاية والاستجابة لها(EDR).